PDF to HTML - Convert PDF files to HTML files

Retsudvalget 2011-12
KOM (2012) 0010 Bilag 1
Offentligt

Civil- og Politiafdelingen

Dato:

Kontor:

16. juli 2012

Det Internationale Kon-

tor

Sagsbeh: Morten Dahm-Hansen

Sagsnr.: 2012-3756-0006

Dok.:

346622

GRUND- OG NÆRHEDSNOTAT

vedrørende Kommissionens forslag til

Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske per-

soner i forbindelse med de kompetente myndigheders behandling af

personoplysninger med henblik på at forebygge, efterforske, opdage

eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige

sanktioner og om fri udveksling af sådanne oplysninger

KOM (2012) 10 endelig

Resumé

Forslaget til et databeskyttelsesdirektiv for de kompetente myndigheders

behandling af personoplysninger på det strafferetlige område er omfattet af

retsforbeholdet. Danmark kan dog inden seks måneder efter direktivets

vedtagelse træffe afgørelse om, hvorvidt Danmark vil gennemføre direkti-

vet i sin nationale lovgivning, da direktivforslaget udgør en udbygning af

Schengen-reglerne. Ifølge direktivforslaget skal dette finde anvendelse på

de kompetente myndigheders behandling af personoplysninger med hen-

blik på at forebygge, efterforske, opdage eller retsforfølge straffelovsover-

trædelser eller fuldbyrde strafferetlige sanktioner. Det gælder også i for-

hold til rent nationale forhold. Forslaget er på en række punkter en videre-

førelse af den gældende regulering, men indeholder også en række væsent-

lige ændringer og nyskabelser. Det er regeringens foreløbige vurdering, at

dele af forslaget er i overensstemmelse med nærhedsprincippet. Forslaget

vurderes at have lovgivningsmæssige og statsfinansielle konsekvenser,

hvis det gennemføres i dansk ret. Der ses ikke at foreligge offentlige til-

kendegivelser om de øvrige medlemsstaters holdninger til forslaget. En

række tvivlsspørgsmål om forslagets indhold og rækkevidde bør afklares,

før der kan tages nærmere stilling til forslaget. Danmark er dog umiddel-

bart positiv over for dele af forslaget.

Slotsholmsgade 10

1216 København K.

Telefon 7226 8400

Telefax 3393 3510

www.justitsministeriet.dk

[email protected]

PDF to HTML - Convert PDF files to HTML files

1. Baggrund

Den 4. november 2010 offentliggjorde Kommissionen en meddelelse med

titlen: ”En global metode til beskyttelse af personoplysninger i Den Euro-

pæiske Union” (KOM(2010) 609 endelig). Denne meddelelse indeholder

hovedtemaerne for den reform af EU’s databeskyttelsesregler, som Kom-

missionen nu tilsigter at gennemføre bl.a. ved det foreliggende direktivfor-

slag.

I forbindelse med fremsættelsen af det foreliggende direktivforslag afgav

Kommissionen endvidere en meddelelse med titlen: ”Beskyttelse af privat-

livets fred i en forbundet verden: En europæisk databeskyttelsesramme til

det 21. århundrede” (KOM(2012) 9 endelig). I meddelelsen beskrives de

mere konkrete overvejelser, der ligger til grund for Kommissionens for-

slag. Det anføres i den forbindelse, at Kommissionen finder, at der er brug

for moderne, sammenhængende databeskyttelsesregler for hele EU, så op-

lysninger kan flyde frit mellem medlemsstaterne. Virksomhederne har

samtidig brug for klare og ensartede regler, der giver retssikkerhed og mi-

nimerer den administrative byrde. Dette er efter Kommissionens opfattelse

meget vigtigt for at sikre, at det indre marked er velfungerende og i stand

til at skabe økonomisk vækst, nye job og innovation.

Herudover anfører Kommissionen bl.a., at Lissabon-traktatens artikel 16

har skabt et nyt retsgrundlag, der muliggør en moderniseret og global til-

gang til databeskyttelse og fri udveksling af personoplysninger, som også

omfatter politimæssigt og retligt samarbejde i straffesager.

Kommissionen anfører endvidere, at den har afholdt flere offentlige hørin-

ger om databeskyttelse og ført en tæt dialog med de relevante interessenter

i de seneste år. På baggrund af de oplysninger, som Kommissionen har

indsamlet i den forbindelse, konkluderes det i meddelelsen, at både borge-

re og virksomheder ønsker, at der gennemføres en altomfattende reform af

EU's databeskyttelsesregler.

Kommissionen ønsker derfor at skabe ”en stærk og konsekvent retlig

ramme” på området på tværs af EU's politikker. Denne ramme skal bl.a.

styrke fysiske personers rettigheder og bekæmpe bureaukrati for erhvervs-

livet.

Kommissionen foreslår, at denne nye retlige ramme skal bestå af

– en databeskyttelsesforordning, der skal erstatte det gældende direk-

tiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med

PDF to HTML - Convert PDF files to HTML files

behandling af personoplysninger og om fri udveksling af sådanne

oplysninger (databeskyttelsesdirektivet), og

– et direktiv, der skal erstatte den gældende rammeafgørelse

2008/977/RIA om beskyttelse af personoplysninger i forbindelse

med politisamarbejde og retligt samarbejde i kriminalsager.

Det bemærkes, at Kommissionens forslag til en forordning om beskyttelse

af fysiske personer i forbindelse med behandling af personoplysninger og

den fri udveksling af sådanne oplysninger (generel forordning om databe-

skyttelse) (KOM(2012) 11 endelig) behandles i et selvstændigt grund- og

nærhedsnotat.

Det danske retsforbehold

Direktivforslaget er fremsat med hjemmel i artikel 16, stk. 2, i Traktaten

om Den Europæiske Unions Funktionsmåde (TEUF). Forslaget er derfor

omfattet af Danmarks forbehold vedrørende retlige og indre anliggender.

Protokollen om Danmarks stilling, der er knyttet til Lissabon-traktaten,

finder på den baggrund anvendelse.

Ifølge protokollens artikel 2 er ingen af de foranstaltninger, der er vedtaget

i henhold til TEUF 3. del, afsnit V, bindende for eller finder anvendelse i

Danmark. Det følger af protokollens artikel 2 a, at den nævnte bestemmel-

se ligeledes finder anvendelse i forbindelse med de regler, der er fastsat på

grundlag af TEUF artikel 16 og vedrører medlemsstaternes behandling af

personoplysninger under udøvelsen af aktiviteter, der er omfattet af TEUF

3. del, afsnit V, kap. 4 eller 5.

En gennemførelse af direktivforslaget er således ikke bindende for eller

finder anvendelse i Danmark.

Danmark kan dog ifølge protokollens artikel 4 inden seks måneder efter

direktivets vedtagelse træffe afgørelse om, hvorvidt Danmark vil gennem-

føre direktivet i sin nationale lovgivning, da direktivforslaget vil udbygge

Schengen-reglerne efter bestemmelserne i TEUF, 3. del, afsnit V.

2. Indhold

2.1. Indledning

Forslaget til Europa-Parlamentets og Rådets direktiv om beskyttelse af fy-

siske personer i forbindelse med de kompetente myndigheders behandling

af personoplysninger med henblik på at forebygge, efterforske, opdage el-

ler retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sank-

PDF to HTML - Convert PDF files to HTML files

tioner og om fri udveksling af sådanne oplysninger er fremsat efter TEUF

artikel 16, stk. 2, hvorefter der kan fastsættes regler for beskyttelse af fysi-

ske personer i forbindelse med behandling af personoplysninger, der fore-

tages af bl.a. medlemsstaterne under udøvelse af aktiviteter, der er omfattet

af EU-retten.

Forslaget tager i en række henseender udgangspunkt i den regulering, der

følger af det gældende databeskyttelsesdirektiv (direktiv 95/46/EF), som

navnlig er gennemført i dansk ret ved lov om behandling af personoplys-

ninger (persondataloven). Herudover tager forslaget udgangspunkt i den

regulering, der følger af Rådets rammeafgørelse om beskyttelse af person-

oplysninger i forbindelse med politisamarbejde og retligt samarbejde i

kriminalsager (rammeafgørelse 2008/977/RIA). Rammeafgørelsen er gen-

nemført i dansk ret ved persondatalovens § 72 a og bekendtgørelse nr.

1287 af 25. november 2010 om beskyttelse af personoplysninger i forbin-

delse med politisamarbejde og retligt samarbejde i kriminalsager inden for

Den Europæiske Union og Schengen-samarbejdet. På den baggrund vil der

i det følgende hovedsageligt blive fokuseret på de væsentligste nyskabelser

og ændringer, som forslaget indeholder.

2.2. Generelle bestemmelser (direktivforslagets kapitel I)

Forslagets kapitel I beskriver direktivets formål, ligesom det fastlægger

dets materielle anvendelsesområde og indeholder definitioner af udvalgte

begreber.

Forslagets overordnede formål er at fastsætte regler om beskyttelse af fysi-

ske personer i forbindelse med de kompetente myndigheders behandling af

personoplysninger med henblik på at forebygge, efterforske, opdage eller

retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktio-

ner.

Medlemsstaterne skal ifølge forslaget sikre, at fysiske personers grund-

læggende rettigheder og frihedsrettigheder, især retten til beskyttelse af

personoplysninger, beskyttes, og at udvekslingen af personoplysninger

mellem de kompetente myndigheder i EU ikke indskrænkes eller forbydes

af grunde, der vedrører beskyttelsen af fysiske personer i forbindelse med

behandling af personoplysninger.

Det må afgøres ved en konkret fortolkning af de enkelte artikler, om der

overlades medlemsstaterne beføjelser til at fastsætte højere krav til beskyt-

telse af personoplysninger end dem, der følger af forslaget (såkaldt mini-

mumsharmonisering). En række af bestemmelserne i direktivforslaget

PDF to HTML - Convert PDF files to HTML files

rummer således et vist spillerum for medlemsstaterne, mens andre be-

stemmelser må anses for at være mere udtømmende.

Direktivet skal ifølge forslaget finde anvendelse på de kompetente myn-

digheders behandling af personoplysninger med henblik på at forebygge,

efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuld-

byrde strafferetlige sanktioner. Direktivet skal ifølge forslaget dog kun

finde anvendelse på behandling af personoplysninger, der helt eller delvis

foretages elektronisk, og på anden behandling end elektronisk behandling

af personoplysninger, der er eller vil blive indeholdt i et register.

Det bemærkes, at der er tale om en væsentlig udvidelse af anvendelsesom-

rådet i forhold til den gældende regulering på EU-niveau. Det nugældende

databeskyttelsesdirektiv finder således ikke anvendelse på aktiviteter på

det strafferetlige område, og rammeafgørelsen finder alene anvendelse på

grænseoverskridende udveksling af personoplysninger inden for det poli-

timæssige- og strafferetlige område.

Behandlinger af personoplysninger, som iværksættes med henblik på udø-

velse af aktiviteter, der ikke er omfattet af EU-retten, navnlig for så vidt

angår national sikkerhed, er undtaget fra direktivforslagets anvendelsesom-

råde. Det samme gælder for behandlinger af personoplysninger, som fore-

tages af EU-institutioner, -organer, -kontorer og -agenturer.

Kapitel I indeholder endvidere definitioner af en række centrale begreber.

Visse af disse begreber er nyskabelser eller ændrede i forhold til, hvad der

følger af de gældende regler. Det kan i den forbindelse særligt fremhæves,

at direktivforslaget indeholder definitioner af ”brud på persondatasikker-

heden”, ”genetiske data”, ”biometriske data” og ”helbredsoplysninger”.

2.3. Principper (direktivforslagets kapitel II)

Direktivforslagets kapitel II indeholder en række generelle behandlings-

principper, der altid skal efterleves i forbindelse med behandling af per-

sonoplysninger, og derudover en række konkrete behandlingsregler.

De generelle behandlingsprincipper i forslaget svarer i vidt omfang til de

regler, som er fastsat i det gældende databeskyttelsesdirektiv. Det gælder

bl.a. forslagets krav om, at oplysninger skal være korrekte og om nødven-

digt ajourførte, og at oplysninger skal indsamles til udtrykkeligt angivne

og legitime formål og ikke senere må gøres til genstand for behandling,

der er uforenelig med disse formål. Efter forslagets præambelbetragtning

PDF to HTML - Convert PDF files to HTML files

nr. 18 bør navnlig de specifikke formål med behandlingen af personoplys-

ninger være udtrykkelige.

Som noget nyt indeholder forslagets kapitel II krav om, at der i videst mu-

ligt omfang skal sondres mellem personoplysninger vedrørende forskellige

kategorier af registrerede.

Det fremgår således af forslaget, at den registeransvarlige i videst muligt

omfang skal sondre klart mellem en række forskellige personkategorier

som f.eks. dømte, sigtede, mistænkte, ofre og vidner.

Det fremgår endvidere af forslaget, at der i videst muligt omfang skal son-

dres mellem de forskellige kategorier af behandlede oplysninger ud fra

forskellige grader af personoplysningers nøjagtighed og pålidelighed.

Endvidere skal der så vidt muligt sondres mellem personoplysninger, der

bygger på kendsgerninger, og personoplysninger, som bygger på personli-

ge vurderinger.

Herudover indeholder forslaget som nævnt regler, der fastlægger, hvornår

de kompetente myndigheder lovligt kan behandle personoplysninger.

Forslaget fastlægger, hvornår behandling af personoplysninger generelt er

lovlig for de kompetente myndigheder. Det er således kun lovligt for de

kompetente myndigheder at behandle personoplysninger, i det omfang

denne behandling er nødvendig for at kunne varetage et af følgende

formål:

- Udførelse af en specifik opgave med henblik på at forebygge,

efterforske, opdage eller retsforfølge straffelovsovertrædelser eller

fuldbyrde strafferetlige sanktioner

- Overholdelse af en retlig forpligtelse, som den registeransvarlige er

pålagt

- Beskyttelse af den registreredes eller en anden persons vitale

interesser

- Forebyggelse af en umiddelbar og alvorlig trussel mod den

offentlige sikkerhed.

Efter forslaget gælder der som udgangspunkt et forbud mod, at kompetente

myndigheder behandler særligt følsomme personoplysninger med henblik

på at forebygge, efterforske, opdage eller retsforfølge straffelovs-

overtrædelser eller fuldbyrde strafferetlige sanktioner. Efter forslaget anses

personoplysninger, der viser racemæssig eller etnisk baggrund, politisk, re-

ligiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold,

PDF to HTML - Convert PDF files to HTML files

genetiske data, helbredsoplysninger og oplysninger om seksuelle forhold

for at være særligt følsomme oplysninger.

De kompetente myndigheder kan ifølge forslaget dog behandle disse sær-

ligt følsomme personoplysninger, hvis behandlingen er tilladt i henhold til

en lovgivning, som fastlægger de fornødne garantier, hvis behandlingen er

nødvendig for at beskytte den registreredes eller en anden persons vitale

interesser, eller hvis behandlingen vedrører oplysninger, som tydeligvis er

offentliggjort af den registrerede.

2.4. Den registreredes rettigheder (direktivforslagets kapitel III)

Forslagets kapitel III fastlægger den registreredes rettigheder i forhold til

den registeransvarlige. Kapitlet indeholder nærmere bestemmelser om

udøvelsen af den registreredes rettigheder, herunder retten til information,

indsigt, berigtigelse og sletning.

Det bemærkes, at samtlige de foreslåede regler som udgangspunkt vil

medføre en betydelig udvidelse af den registreredes rettigheder inden for

det foreslåede direktivs anvendelsesområde. Dette skyldes, at de gældende

regler om oplysningspligt over for den registrerede, den registreredes ret til

indsigelse, berigtigelse, blokering og sletning af personoplysninger ikke

finder anvendelse på behandlinger, der foretages for domstolene, politi og

anklagemyndighed inden for det strafferetlige område. Herudover finder

de gældende regler om den registreredes ret til indsigt ikke anvendelse på

behandlinger, der foretages for domstolene inden for det strafferetlige om-

råde.

I forhold til personoplysninger, der udveksles eller stilles til rådighed mel-

lem myndigheder fra to forskellige medlemsstater i forbindelse med politi-

samarbejde og retligt samarbejde i kriminalsager inden for EU og Schen-

gen-samarbejdet – og som i dag er omfattet af rammeafgørelsen – er det

alene forslagets bestemmelse om oplysningspligt, som er en nyskabelse.

Efter forslaget skal den registreransvarlige træffe alle rimelige foranstalt-

ninger for at fastsætte gennemsigtige og lettilgængelige regler for behand-

lingen af personoplysninger og udøvelsen af registreredes rettigheder.

Herudover skal den registeransvarlige træffe alle rimelige foranstaltninger

for at fastlægge procedurer for udlevering af information til den

registrerede og for udøvelsen af den registreredes rettigheder.

PDF to HTML - Convert PDF files to HTML files

Direktivforslaget giver for det første den registrerede en ret til oplysninger

fra den registeransvarlige, når der indsamles personoplysninger om den

registrerede.

Den registeransvarlige skal ved indsamling af personoplysninger om den

registrerede træffe alle nødvendige foranstaltninger for at sikre, at den

registrerede bl.a. modtager identitets- og kontaktoplysninger for den

registeransvarlige og for den databeskyttelsesansvarlige, oplysning om

formålene med den behandling, hvortil oplysningerne er bestemt, og om

hvor længe oplysningerne opbevares. Herudover skal den

registeransvarlige informeres om retten til at anmode om indsigt i og

berigtigelse eller sletning af personoplysninger vedrørende den

registrerede eller begrænsning af behandlingen heraf samt retten til at

indgive klage til tilsynsmyndigheden. Den registrerede skal også modtage

oplysning om modtagerne eller kategorierne af modtagere af

personoplysningerne, herunder i tredjelande eller internationale

organisationer. Endelig skal den registerede modtage yderligere

information, for så vidt denne information er nødvendig under hensyn til

de særlige forhold, hvorunder personoplysningerne behandles, for at

garantere en retfærdig behandling af den registrerede.

Den registeransvarlige skal ifølge forslaget give den registrerede de

ovennævnte oplysninger enten på det det tidspunkt, hvor

personoplysningerne indhentes fra den registrerede, eller såfremt

personoplysningerne ikke indsamles fra den registrerede, på tidspunktet

for registreringen eller inden for et rimeligt tidsrum efter indsamlingen

afhængigt af de konkrete omstændigheder for behandlingen af

oplysningerne.

For det andet tillægger forslaget den registrerede en indsigtsret. Den

registrerede har således ret til fra den registeransvarlige at få bekræftet, om

personoplysninger vedrørende vedkommende behandles.

Hvis sådanne personoplysninger behandles, skal den registeransvarlige

fremlægge en række oplysninger for den registerede. Det drejer sig bl.a.

om formålene med behandlingen, hvilke modtagere eller kategorier af

modtagere, som personoplysningerne er blevet videregivet til, hvor længe

oplysningerne opbevares, oplysninger om retten til berigtigelse og sletning

samt oplysninger om klageadgang til tilsynsmyndigheden.

Herudover skal den registrerede ifølge forslaget have ret til at modtage en

kopi af de personoplysninger, der er genstand for behandling.

PDF to HTML - Convert PDF files to HTML files

Den registreredes ret til oplysninger og indsigt er dog ikke absolut.

Medlemsstaterne kan ifølge forslaget begrænse eller udsætte den

registeredes ret til information og indsigt helt eller delvist, i det omfang en

sådan begrænsning er nødvendig og proportional under hensyn til den

pågældendes legitime interesser. Medlemsstaterne kan dog alene begrænse

disse rettigheder, hvis det sker for at undgå, at officielle eller retlige

undersøgelser, efterforskninger eller procedurer hindres, for at undgå, at

forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af

straffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen af

strafferetlige sanktioner. Medlemsstaterne kan endvidere begrænse den

registreredes ret til information og indsigt for at beskytte den offentlige

sikkerhed, for at beskytte den nationale sikkerhed eller for at beskytte

andres rettigheder og friheder.

Hvis den registeransvarlige meddeler den registrerede afslag på indsigt

eller begrænser indsigten, skal den registeransvarlige efter forslaget give

den registrerede en skriftlig begrundelse samt vejledning om mulighederne

for at indgive klage til tilsynsmyndigheden og indbringe sagen for en

retsinstans. Oplysningerne om de faktiske eller retlige grunde, som

afgørelsen hviler på, kan udelades af begrundelsen, hvis sådanne

oplysninger vil være til skade for et af de formål, som har begrundet

begrænsningen i indsigtsretten.

Herudover foreslås det også som noget nyt, at den registrerede, navnlig i

de tilfælde, hvor der meddeles afslag på indsigt, eller hvor retten

begrænses, har ret til at anmode tilsynsmyndigheden om at kontrollere, om

behandlingen er lovlig. Medlemsstaterne skal fastsætte bestemmelser om,

at den registeransvarlige skal underrette den registrerede om retten til at

anmode tilsynsmyndigheden om at gribe ind.

Forslaget giver for det tredje den registerede en ret til at kræve berigtigelse

af urigtige personoplysninger. Den registrerede har i den forbindelse ret til

få gjort ufuldstændige personoplysninger komplette, bl.a. ved at kræve en

berigtigelse.

For det fjerde tillægger forslaget den registrerede en ret til at kræve

sletning af personoplysninger, hvis behandlingen ikke er i overens-

stemmelse

med

forslagets

princpper

for

behandlingen

personoplysninger, eller hvis behandlingen ikke overholder reglerne om,

hvornår behandling af personoplysninger er lovlig. Den registeransvarlige

skal i sådanne tilfælde foretage sletningen omgående.

PDF to HTML - Convert PDF files to HTML files

I visse situationer skal den registeransvarlige – i stedet for at slette

personoplysningerne – begrænse behandlingen af disse. Det gælder, hvis

oplysningernes rigtighed bestrides af den registrerede, indtil den

registeransvarlige har haft mulighed for at fastslå, om de er rigtige, hvis

personoplysningerne skal gemmes som bevismiddel, eller hvis den

registrerede modsætter sig deres sletning og i stedet kræver, at

anvendelsen heraf begrænses.

Den registeransvarlige kan ifølge forslaget meddele afslag på berigtigelse,

sletning eller begrænsning af behandlingen. I givet fald skal den

registeransvarlige give den registrerede skriftlig meddelelse herom.

Meddelelsen skal beskrive årsagerne til afslaget og mulighederne for at

indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.

Forslaget indeholder en generel undtagelse til reglerne om den

registreredes rettigheder. Medlemsstaterne kan således fastsætte regler om,

at den registreredes rettigheder skal udøves i overensstemmelse med de

nationale retsplejeregler, når personoplysningerne er indeholdt i en

retsafgørelse eller et register, der behandles i forbindelse med strafferetlige

efterforskninger og straffesager.

2.5. Den registeransvarlige og registerførerens forpligtelser mv. (di-

rektivforslagets kapitel IV)

Forslagets kapitel IV omhandler den registeransvarlige og registerføreren.

Kapitlet indeholder regler om generelle forpligtelser, datasikkerhed og ud-

pegning af en databeskyttelsesansvarlig.

Generelt bemærkes det, at dette kapitel indeholder en række forpligtelser

for den registeransvarlige, der ikke følger af de gældende regler. Blandt

disse er bl.a. indførelse af et krav om såkaldt ”indbygget databeskyttelse”.

Dette krav indebærer bl.a., at den registeransvarlige, under hensyntagen til

det aktuelle tekniske niveau og omkostningerne i forbindelse med

gennemførelsen, skal træffe passende tekniske og organisatoriske

foranstaltninger og procedurer, således at behandlingen opfylder kravene i

forslaget og sikrer beskyttelsen af den registreredes rettigheder.

Som noget nyt lægges der endvidere op til et krav om, at den registeran-

svarlige og registerføreren skal opbevare dokumentation for alle

behandlingssystemer og -procedurer, som de pågældende er ansvarlige for.

Dokumentationen skal mindst omfatte oplysninger om den registeransvar-

liges og registerførerens navn og kontaktoplysninger, om formålene med

behandlingen, om kategorien eller kategorierne af modtagere af personop-

PDF to HTML - Convert PDF files to HTML files

lysninger, og om videregivelse af oplysninger til et tredjeland eller en in-

ternational organisation, herunder identifikation af dette tredjeland eller

denne internationale organisation. Denne dokumentation skal stilles til rå-

dighed for tilsynsmyndigheden efter anmodning.

En yderligere nyskabelse er indførelsen af kravet om, at den registeran-

svarlige skal anmelde brud på persondatasikkerheden til tilsynsmyndighe-

den. Efter forslaget skal anmeldelsen ske uden unødig forsinkelse og om

muligt senest 24 timer efter, at den registeransvarlige er blevet bekendt

med et persondatasikkerhedsbrud. Anmeldelsen skal bl.a. beskrive karak-

teren af bruddet på persondatasikkerheden, herunder kategorierne og antal-

let af berørte registrerede. Anmeldelsen skal endvidere indeholde en anbe-

faling af foranstaltninger, der kan afhjælpe de mulige skadevirkninger af

bruddet på persondatasikkerheden og en beskrivelse af de foranstaltninger,

som den registeransvarlige foreslår eller har iværksat for at afhjælpe brud-

det på persondatasikkerheden.

Når sikkerhedsbruddet kan forventes at krænke beskyttelsen af personop-

lysninger eller privatlivets fred for en registreret person, skal den register-

ansvarlige ligeledes uden unødig forsinkelse underrette den registrerede

om sikkerhedsbruddet. Denne underretning skal omfatte karakteren af

bruddet på persondatasikkerheden og indeholde en række af de oplysnin-

ger og anbefalinger, der også skal afgives til tilsynsmyndigheden. Det er

dog ikke nødvendigt at underrette den registrerede om et brud på person-

data-sikkerheden, hvis tilsynsmyndigheden finder det godtgjort fra den re-

gisteransvarliges side, at denne har gennemført passende teknologiske be-

skyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt på

de data, som sikkerhedsbruddet vedrørte.

Der lægges også op til, at den registeransvarlige eller registerføreren skal

udpege en databeskyttelsesansvarlig. Den databeskyttelsesansvarlige kan

ifølge forslaget udpeges for flere enheder under hensyntagen til den

kompetente myndigheds organisatoriske struktur. Kravet om udpegning af

en databeskyttelsesansvarlig er nyt sammenlignet med den gældende

persondatalov og rammeafgørelsen.

Den registeransvarlige eller registerføreren skal sikre, at den

databeskyttelsesansvarlige inddrages tilstrækkeligt og rettidigt i alle

spørgsmål vedrørende beskyttelse af personoplysninger, og at den

databeskyttelsesansvarlige råder over de midler, der er nødvendige for at

udføre sine opgaver effektivt og uafhængigt, og ikke modtager instrukser

med hensyn til udøvelsen af hvervet.

PDF to HTML - Convert PDF files to HTML files

Den databeskyttelsesansvarlige har bl.a. til opgave at underrette og rådgive

den registeransvarlige eller registerføreren om deres forpligtelser i henhold

til direktivet. Den databeskyttelsesansvarlige skal endvidere overvåge gen-

nemførelsen og anvendelsen af reglerne om beskyttelse af personoplysnin-

ger, herunder fordeling af ansvar, uddannelse af det personale, der medvir-

ker ved databehandlingen, og de tilhørende kontroller.

Den databeskyttelsesansvarlige skal også kontrollere overholdelsen af kra-

vene om dokumentation, anmeldelser og meddelelser vedrørende brud på

persondatasikkerheden.

Herudover skal den databeskyttelsesansvarlige fungere som tilsynsmyn-

dighedens kontaktpunkt i forbindelse med spørgsmål vedrørende

behandling og på eget initiativ og efter behov rådføre sig med

tilsynsmyndigheden.

2.6. Videregivelse af personoplysninger til tredjelande eller internati-

onale organisationer (direktivforslagets kapitel V)

Direktivets kapitel V fastlægger bl.a. betingelserne for, hvornår de kompe-

tente myndigheder kan videregive personoplysninger til tredjelande eller

internationale organisationer. Kapitlet indeholder en række væsentlige æn-

dringer og nyskabelser i forhold til gældende ret.

Videregivelse kan efter forslaget kun ske, hvis videregivelsen er

nødvendig for at forebygge, efterforske, opdage eller retsforfølge

straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

Ud over denne grundlæggende betingelse skal et af de tre følgende

grundlag være til stede for, at der kan finde en videregivelse sted.

For det første kan videregivelse af personoplysninger ske, hvis

Kommissionen har fastslået, at et tredjeland, et område eller en

behandlingssektor i dette tredjeland eller en international organisation har

et tilstrækkeligt databeskyttelsesniveau.

Efter forslaget er det Kommissionen, som skal foretage vurderingen af, om

et tredjeland, et område eller en behandlingssektor i dette tredjeland eller

en international organisation har et tilstrækkeligt databeskyttelsesniveau.

Ved vurderingen skal Kommissionen bl.a. tage hensyn til retsstats-

princippet (”rule of law”), relevant gældende lovgivning og de

sikkerhedsforanstaltninger, der gælder i tredjelandet eller den

internationale organisation. Kommissionen skal endvidere tage hensyn til,

PDF to HTML - Convert PDF files to HTML files

om de registrerede tillægges effektive rettigheder, der retligt kan

håndhæves, herunder om der er effektiv adgang til administrativ og retlig

prøvelse for registrerede, hvis personoplysninger videregives, navnlig for

så vidt angår registrerede, der er bosiddende i EU. Herudover skal

Kommissionen tage hensyn til, om der i tredjelandet eller den

internationale organisation er velfungerende uafhængige tilsyns-

myndigheder, der har ansvaret for at sikre, at databeskyttelsesreglerne

overholdes, for at bistå og rådgive de registrerede, når de udøver deres

rettigheder, og for at samarbejde med tilsynsmyndighederne i EU. Endelig

skal Kommissionen tage hensyn til de internationale forpligtelser, som

tredjelandet eller den internationale organisation har indgået. Hvis Kom-

missionen finder, at et tredjeland, et område eller en behandlingssektor i

dette tredjeland eller en international organisation ikke har et tilstrækkeligt

beskyttelsesniveau, skal medlemsstaterne ifølge forslaget sikre, at enhver

form for videregivelse af personoplysninger til tredjelandet eller et område

eller en behandlingssektor i dette tredjeland eller den pågældende interna-

tionale organisation forbydes. Efter forslaget påvirker denne afgørelse dog

ikke muligheden for at foretage videregivelsen på et af de to alternative

grundlag, der er nærmere beskrevet nedenfor.

Hvis Kommissionen ikke har truffet afgørelse om, hvorvidt et tredjeland,

et område eller en behandlingssektor i dette tredjeland eller en internatio-

nal organisation har et tilstrækkeligt beskyttelsesniveau eller ej, kan vide-

regivelse for det andet ske til en modtager i et tredjeland eller en internati-

onal organisation. Det forudsætter, at der i en retsakt foreligger hensigts-

mæssige garantier i forhold til beskyttelsen af personoplysninger. Videre-

givelse kan også ske, hvis den registeransvarlige eller registerføreren har

vurderet alle forhold i forbindelse med videregivelsen af personoplysnin-

ger og konkluderet, at der findes hensigtsmæssige garantier, hvad angår

beskyttelsen af personoplysninger.

For det tredje kan en videregivelse af personoplysninger til et tredjeland

eller en international organisation ske, hvis

videregivelsen er nødvendig for at beskytte den registreredes eller

en anden persons vitale interesser,

videregivelsen er nødvendig for at beskytte den registreredes legi-

time interesser, hvis det er påkrævet ved lov i den medlemsstat, der

videregiver personoplysningerne,

videregivelsen af oplysningerne er afgørende for at afværge en

umiddelbar og alvorlig trussel mod en medlemsstats eller et tredje-

lands offentlige sikkerhed,

PDF to HTML - Convert PDF files to HTML files

videregivelsen er nødvendig i enkeltsager med henblik på forebyg-

gelse, efterforskning, opdagelse eller retsforfølgning af straffelovs-

overtrædelser eller fuldbyrdelse af strafferetlige sanktioner, eller

videregivelsen er nødvendig i enkeltsager med henblik på at fastslå

et retskrav eller gøre det gældende eller forsvare det ved en dom-

stol i forbindelse med forebyggelse, efterforskning, opdagelse eller

retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af

strafferetlige sanktioner.

Den registeransvarlige skal underrette modtageren af personoplysninger

om eventuelle begrænsninger for behandling og træffe alle rimelige foran-

staltninger for at sikre, at disse begrænsninger overholdes.

2.7. Uafhængige tilsynsmyndigheder (direktivforslagets kapitel VI)

Direktivets kapitel VI indeholder regler om de nationale tilsynsmyndighe-

ders uafhængige status, opgaver og beføjelser.

I forhold til de gældende regler lægges der op til en række nye og uddy-

bende krav til de nationale tilsynsmyndigheders organisering og uaf-

hængighed. Det følger således bl.a. udtrykkeligt af forslaget, at medlem-

mer af tilsynsmyndigheden ved udøvelsen af deres opgaver hverken må

søge eller modtage instrukser fra andre, og at medlemmer efter embedspe-

riodens ophør skal udvise hæderlighed og tilbageholdenhed med hensyn til

at påtage sig visse hverv eller at acceptere visse fordele. Samtidig skal

hver medlemsstat sikre, at tilsynsmyndigheden er underlagt finansiel kon-

trol, som ikke påvirker dens uafhængighed.

Det fastsættes endvidere i forslaget, at medlemsstaterne skal sikre, at til-

synsmyndigheden råder over tilstrækkelige finansielle, tekniske og menne-

skelige ressourcer, lokaler og infrastrukturer til effektivt at udføre sine op-

gaver og udøve sine beføjelser.

Efter forslaget skal medlemsstaterne vedtage bestemmelser om, at

medlemmerne af tilsynsmyndigheden udpeges af parlamentet eller

regeringen i den pågældende medlemsstat.

I forhold til tilsynsmyndighedernes organisering og opgaver følger det af

forslaget, at hver medlemsstat ved lov bl.a. skal fastsætte regler om

tilsynsmyndighedens oprettelse og status. Herudover skal medlemsstaterne

ved lov fastsætte regler om de kvalifikationer og den erfaring og

kompetence, der er nødvendig for at udøve hvervet som medlem af

tilsynsmyndigheden, og om reglerne og procedurerne for udnævnelsen af

PDF to HTML - Convert PDF files to HTML files

medlemmerne af tilsynsmyndigheden. Endvidere skal medlemsstaterne

bl.a. fastsætte regler om handlinger og hverv, der er uforenelige med

hvervet som medlem af tilsynsmyndigheden og regler om de pligter, der

påhviler tilsynsmyndighedens medlemmer og personale.

Efter forslaget vil tilsynsmyndigheden som en ny opgave skulle deltage i

Det Europæiske Databeskyttelsesråds aktiviteter.

Herudover vil tilsynsmyndigheden skulle arbejde for at styrke offentlighe-

dens kendskab til risici, regler, garantier og rettigheder i forbindelse med

behandling af personoplysninger.

2.8. Samarbejde (direktivforslagets kapitel VII)

Direktivets kapitel VII indeholder bestemmelser om gensidig bistand og

om Det Europæiske Databeskyttelsesråds opgaver.

Efter forslaget skal tilsynsmyndighederne yde hinanden gensidig bistand

med henblik på at gennemføre og anvende de bestemmelser, der vedtages i

medfør af dette direktiv, på en ensartet måde og træffe foranstaltninger

med henblik på et effektivt samarbejde med hinanden.

For så vidt angår oprettelsen af Det Europæiske Databeskyttelsesråd hen-

vises der i direktivforslaget til bestemmelserne herom i Kommissionens

samtidige forslag til Europa-Parlamentets og Rådets forordning om beskyt-

telse af fysiske personer i forbindelse med behandling af personoplysnin-

ger og om fri udveksling af sådanne oplysninger (generel forordning om

databeskyttelse). Efter forordningsforslaget skal Det Europæiske Databe-

skyttelsesråd sammensættes af direktøren for tilsynsmyndigheden i hver

medlemsstat og Den Europæiske Tilsynsførende for Databeskyttelse. Her-

udover har Kommissionen ret til at deltage i Det Europæiske Databeskyt-

telsesråds aktiviteter og møder.

Det Europæiske Databeskyttelsesråd skal efter direktivforslaget bl.a. råd-

give Kommissionen om ethvert spørgsmål vedrørende beskyttelse af per-

sonoplysninger i Unionen, herunder om ethvert forslag til ændring af

direktivet. Rådet skal endvidere efter anmodning fra Kommissionen, på

eget initiativ eller efter anmodning fra et af rådets medlemmer, undersøge

ethvert spørgsmål om anvendelsen af bestemmelser vedtaget i medfør af

direktivet og udarbejde retningslinjer, henstillinger og bedste praksis til de

nationale tilsynsmyndigheder for at fremme en konsekvent anvendelse af

disse bestemmelser. Herudover skal rådet bl.a. afgive udtalelse til Kom-

PDF to HTML - Convert PDF files to HTML files

missionen om beskyttelsesniveauet i tredjelande eller internationale orga-

nisationer.

2.9. Klageadgang, ansvar og sanktioner (direktivforslagets kapitel

VIII)

Forslagets kapitel VIII indeholder bestemmelser om retten til at indgive

klage til tilsynsmyndigheden, om retsmidler (dvs. adgang til domstolsprø-

velse) over for tilsynsmyndigheden og over for den registeransvarlige eller

registerføreren, om erstatningsansvar og om ret til erstatning samt

sanktioner.

Efter forslaget skal alle registrerede have ret til at indgive klage til til-

synsmyndigheden i enhver medlemsstat, hvis de finder, at behandlingen af

deres personoplysninger ikke er i overensstemmelse med bestemmelserne,

som er vedtaget i national ret i medfør af direktivet.

Herudover følger det som en nyskabelse af forslaget, at alle organer, orga-

nisationer eller sammenslutninger, der har til formål at beskytte registrere-

des rettigheder og interesser i forbindelse med beskyttelsen af deres per-

sonoplysninger, og som er etableret i overensstemmelse med en medlems-

stats lovgivning, har ret til at indgive klage til en tilsynsmyndighed i en-

hver medlemsstat på vegne af en eller flere registrerede. Retten til at ind-

give klage forudsætter, at organet mv. vurderer, at den registreredes ret-

tigheder i henhold til direktivet er blevet krænket som følge af behandlin-

gen af personoplysninger.

De samme organer mv. har efter forslaget ret til, uafhængigt af en klage fra

den registrerede, at indgive klage til en tilsynsmyndighed i enhver med-

lemsstat, hvis de vurderer, at et brud på persondatasikkerheden har fundet

sted.

Forslaget tillægger således enhver organisation – uanset dennes størrelse

og medlemskreds – en ret til at indgive klage til enhver tilsynsmyndighed

alene på baggrund af organisationens egen vurdering af, om der har fundet

et brud på persondatasikkerheden sted.

Kapitel VIII indeholder endvidere regler om adgangen til at søge retsmid-

ler anvendt over for tilsynsmyndigheder og over for den registeransvarlige

eller registerføreren. Det følger i den forbindelse af forslaget, at enhver re-

gistreret skal have adgang til et retsmiddel, der forpligter

tilsynsmyndigheden til at reagere på en klage, hvis der ikke træffes en

afgørelse, som er nødvendig for at beskytte vedkommendes rettigheder,

PDF to HTML - Convert PDF files to HTML files

eller hvis tilsynsmyndigheden ikke inden for tre måneder underretter den

registrerede om forløbet eller resultatet af en klage. Bestemmelsen

fastsætter således en indirekte pligt for tilsynsmyndighederne til – enten

foreløbigt eller endeligt – at besvare en klage inden for 3 måneder efter

tilsynsmyndighedens modtagelse af klagen.

Herudover lægges der op til, at medlemsstaterne har pligt til at fastsætte

bestemmelser om erstatning. Det foreslås, at enhver, som har lidt skade

som følge af en ulovlig behandling eller enhver anden handling, der er

uforenelig med de nationale bestemmelser, som vedtages i medfør af di-

rektivet, skal have ret til erstatning for den forvoldte skade fra den regi-

steransvarlige eller registerføreren. Det gælder dog ikke, hvis den register-

ansvarlige eller registerføreren beviser, at vedkommende ikke er skyld i

den begivenhed, der medførte skaden. I forhold til den gældende retstil-

stand er det en væsentlig nyskabelse, at der også for registerføreren fast-

lægges et sådant ansvar.

Endelig lægges der op til, at medlemsstaterne skal fastsætte bestemmelser

om sanktioner for overtrædelse af de nationale bestemmelser, der er

vedtaget i medfør af direktivet, og træffe alle nødvendige foranstaltninger

til at sikre gennemførelsen heraf. Sanktionerne skal være effektive, stå i et

rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Sanktioner bør ifølge forslaget kunne pålægges fysiske eller juridiske

personer, uanset om de henhører under privat- eller offentligretlig

lovgivning.

Det er ikke nærmere fastsat, om der skal være tale om administrative eller

strafferetlige sanktioner.

2.10. Delegerede retsakter, gennemførelsesforanstaltninger og afslut-

tende bestemmelser (direktivforslagets kapitel IX og X)

Forslagets kapitel IX indeholder bestemmelser om Kommissionens mulig-

heder for at udstede delegerede retsakter og om tildeling af gennemførel-

sesbeføjelser til Kommissionen.

I forbindelse med udstedelsen af gennemførelsesretsakter skal Kommissi-

onen bistås af et udvalg, der er sammensat af repræsentanter for medlems-

staterne.

Forslaget indeholder herudover en række afsluttende bestemmelser, hvor

der bl.a. lægges op til at ophæve den gældende rammeafgørelse

2008/977/RIA.

PDF to HTML - Convert PDF files to HTML files

Efter forslaget skal internationale aftaler, som medlemsstaterne har indgået

forud for direktivets ikrafttræden, om nødvendigt ændres inden fem år fra

direktivets ikrafttræden. Ifølge forslaget bør internationale aftaler, som

medlemsstaterne har indgået inden direktivets ikrafttræden, ændres i

overensstemmelse med direktivet for at sikre en overordnet og

sammenhængende beskyttelse af personoplysninger i Unionen.

Bestemmelsen forpligter således medlemsstaterne til at genforhandle

indgåede aftaler med tredjelande om gensidig retshjælp, hvis dette er

nødvendigt for at sikre, at aftalerne lever op til det databeskyttelsesniveau,

der er fastlagt i direktivet.

3. Gældende dansk ret

3.1. Indledning

Direktivet skal ifølge forslaget finde anvendelse på de kompetente myn-

digheders behandling af personoplysninger med henblik på at forebygge,

efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuld-

byrde strafferetlige sanktioner.

Forslaget lægger som nævnt i pkt. 2.2 i den forbindelse op til en væsentlig

udvidelse af anvendelsesområdet for den EU-retlige regulering af behand-

ling af personoplysninger på det politimæssige og strafferetlige område.

Det foreslås således, at direktivet også skal omfatte f.eks. politiets behand-

linger af oplysninger, som er rent interne i den enkelte medlemsstat, og

som således hverken er eller påtænkes udvekslet med en anden medlems-

stat, jf. anvendelsesområdet for den gældende rammeafgørelse.

Hertil kommer, at der med reglerne i kapitel III lægges op til en betydelig

udvidelse af den registreredes rettigheder i forhold til de gældende EU-

regler på det politimæssige og strafferetlige område, jf. nærmere pkt. 2.4.

I en dansk sammenhæng vil direktivet derfor i givet fald kunne få betyd-

ning for behandling af personoplysninger i alle faser af en straffesag, og

således fra f.eks. det tidspunkt politiet modtager en anmeldelse om et

strafbart forhold til Kriminalforsorgen løslader den domfældte efter endt

afsoning.

En redegørelse for gældende dansk ret vil derfor principielt set kunne om-

fatte en omtale af lovgivningen mv. om behandling personoplysninger,

herunder den registreredes eventuelle rettigheder til indsigt mv., for politi-

et, anklagemyndigheden, domstolene og Kriminalforsorgen.

PDF to HTML - Convert PDF files to HTML files

I det følgende redegøres imidlertid for de mest centrale regler.

3.2. Persondataloven

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med se-

nere ændringer (persondataloven) er der fastsat generelle regler om be-

handling af personoplysninger for offentlige myndigheder og den private

sektor. Persondataloven er først og fremmest baseret på det gældende da-

tabeskyttelsesdirektiv.

Persondataloven indeholder bl.a. regler om, hvornår behandling af person-

oplysninger i almindelighed må finde sted, ligesom loven indeholder regler

vedrørende behandling af særlige typer oplysninger (f.eks. regler om per-

sonnumre). Loven indeholder desuden en række bestemmelser om ret-

tigheder for de personer, der behandles oplysninger om. Det gælder f.eks.

regler om den registreredes ret til information, indsigelse, indsigt, berigti-

gelse og sletning af personoplysninger.

Persondataloven gælder generelt for politiets, anklagemyndighedens og

domstolenes behandling af personoplysninger. Som nævnt i pkt. 2.4 oven-

for finder lovens bestemmelser om oplysningspligt over for den registrere-

de, den registreredes ret til indsigelse, berigtigelse, blokering og sletning af

personoplysninger dog ikke anvendelse på behandlinger, der foretages for

domstolene, politi og anklagemyndighed inden for det strafferetlige områ-

de. Herudover finder lovens regler om den registreredes ret til indsigt ikke

anvendelse på behandlinger, der foretages for domstolene inden for det

strafferetlige område.

Persondataloven fastsætter endvidere regler om datasikkerhed i forbindelse

med behandling af personoplysninger. Disse regler suppleres for offentlige

myndigheders vedkommende af bekendtgørelse nr. 528 af 15. juni 2000

om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som

behandles for den offentlige forvaltning.

Persondataloven indeholder også bestemmelser om Datatilsynets kontrol

med behandling af personoplysninger, der foretages for offentlige myn-

digheder og den private sektor, ligesom der i loven er fastsat regler om

pligt til at foretage anmeldelse til Datatilsynet i forbindelse med bestemte

typer behandling af personoplysninger.

PDF to HTML - Convert PDF files to HTML files

3.3. Bekendtgørelse om beskyttelse af personoplysninger i forbindelse

med politisamarbejde og retligt samarbejde i kriminalsager inden for

EU og Schengen-samarbejdet

Justitsministeren har i medfør af persondatalovens § 72 a fastsat nærmere

regler ved bekendtgørelse nr. 1287 af 25. november 2010 om beskyttelse

af personoplysninger i forbindelse med politisamarbejde og retligt samar-

bejde i kriminalsager inden for Den Europæiske Union og Schengen-

samarbejdet. Bekendtgørelsen gennemfører Rådets rammeafgørelse

2008/977/RIA i dansk ret.

Formålet med bekendtgørelsen er at sikre beskyttelsen af personoplysnin-

ger, der behandles inden for rammerne af det politimæssige og strafferetli-

ge samarbejde inden for EU.

Bekendtgørelsen finder anvendelse i forhold til personoplysninger, der ud-

veksles eller stilles til rådighed mellem en dansk og en udenlandsk myn-

dighed i forbindelse med politisamarbejde og retligt samarbejde i krimi-

nalsager inden for Den Europæiske Union og Schengen-samarbejdet.

Bekendtgørelsen tager således sigte på den grænseoverskridende informa-

tionsudveksling i forbindelse med politisamarbejde og retligt samarbejde i

kriminalsager. Den finder inden for dette område anvendelse på behand-

ling af personoplysninger, der helt eller delvis foretages elektronisk, og i

forhold til ikke-elektronisk behandling af personoplysninger, der er eller

vil blive indeholdt i et register.

Bekendtgørelsen henviser bl.a. til en række af de grundlæggende regler for

behandling af personoplysninger i persondataloven. Den indeholder her-

udover regler om datakvalitet og behandlingssikkerhed. Bekendtgørelsen

indeholder desuden regler for specifikke former for databehandling, her-

under regler om viderebehandling af personoplysninger modtaget fra andre

medlemsstater og om videregivelse af sådanne oplysninger til private og

tredjelande samt internationale organer. Herudover udvider bekendtgørel-

sen den registreredes rettigheder med hensyn til bl.a. underretning og be-

rigtigelse af urigtige oplysninger i forhold til persondataloven.

Efter rammeafgørelsen, som bekendtgørelsen gennemfører i dansk ret, skal

Kommissionen – på baggrund af rapporter fra medlemsstaterne – senest i

november 2014 aflægge rapport til Europa-Parlamentet og Rådet med en

evaluering af rammeafgørelsens gennemførelse, følgerne af rammeafgørel-

sens bestemmelser samt eventuelle forslag til ændringer af rammeafgørel-

sen.

PDF to HTML - Convert PDF files to HTML files

3.4. Retsplejeloven

Retsplejeloven (lovbekendtgørelse nr. 1063 af 17. november 2011 med se-

nere ændringer) indeholder de grundlæggende regler i dansk ret vedrøren-

de bl.a. efterforskning og retsforfølgning af strafbare forhold.

Retsplejelovens kapitel 67-75 b fastsætter således regler om politiets efter-

forskning af strafbare forhold og om gennemførelsen af tvangsindgreb,

herunder reglerne for anholdelse, varetægtsfængsling, indgreb i meddelel-

seshemmeligheden, legemsindgreb, ransagning, beslaglæggelse, edition og

personundersøgelser. Disse kapitler indeholder ligeledes grundlæggende

straffeprocessuelle regler.

Retsplejeloven indeholder endvidere regler om aktindsigt i domme, ken-

delser og andre dokumenter, der vedrører en straffesag. Udgangspunktet

er, at enhver har ret til aktindsigt i domme og kendelser mv.

Herudover kan den, der har en individuel, væsentlig interesse i et konkret

retsspørgsmål, som udgangspunkt forlange at blive gjort bekendt med do-

kumenter, der vedrører en straffesag, herunder indførsler i retsbøgerne, i

det omfang dokumenterne har betydning for vurderingen af det pågælden-

de retsspørgsmål.

3.5. Straffuldbyrdelsesloven

Straffuldbyrdelsesloven (lovbekendtgørelse nr. 435 af 15. maj 2012) regu-

lerer fuldbyrdelsen af fængselsstraffe, bødestraffe, betingede domme,

domme med vilkår om samfundstjeneste og forvaring.

Straffuldbyrdelsesloven indeholder i en række tilfælde mulighed for, at

myndighederne kan behandle personoplysninger om en dømt person for at

varetage sine opgaver efter loven. Det er f.eks. tilfældet, hvor Kriminalfor-

sorgen træffer afgørelse om valg af afsoningsinstitution, om anbringelse i

åbent eller lukket fængsel, om overførsel fra åbent til lukket fængsel og

om udgang i forbindelse med afsoning af fængselsstraf.

4. Lovgivningsmæssige og statsfinansielle konsekvenser

En vedtagelse af forslaget vil indebære, at den gældende danske lovgiv-

ning på området skal tilpasses direktivet, hvis Danmark inden seks måne-

der efter direktivets vedtagelse træffer afgørelse om at gennemføre direkti-

vet i dansk ret.

En gennemførelse af forslaget vil bl.a. indebære, at bestemmelserne i den

PDF to HTML - Convert PDF files to HTML files

gældende persondatalov vil skulle tilpasses direktivets regulering for den

del af de kompetente myndigheders behandling af personoplysninger, der

falder inden for direktivets anvendelsesområde.

Det er endvidere Justitsministeriets helt umiddelbare vurdering, at en gen-

nemførelse af det foreliggende forslag i dansk ret vil indebære, at reglerne

i retsplejeloven på en række områder vil skulle ændres. Det er således mu-

ligt, at forslagets bestemmelser om behandlingsprincipper og behandlings-

regler, jf. pkt. 2.3. ovenfor, efter omstændighederne vil skulle indsættes i

retsplejeloven. Herudover må det antages, at direktivforslagets bestemmel-

ser om den registreredes ret til indsigt vil indebære, at de gældende be-

stemmelser i retsplejeloven om aktindsigt vil skulle revideres.

Herudover er det Justitsministeriets foreløbige vurdering, at det kan blive

nødvendigt at revidere de gældende regler i straffuldbyrdelsesloven og be-

kendtgørelsen om beskyttelse af personoplysninger i forbindelse med poli-

tisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæi-

ske Union og Schengen-samarbejdet, hvis direktivforslaget gennemføres i

dansk ret.

Det bemærkes, at vurderingen af de lovgivningsmæssige konsekvenser er

præget af en vis usikkerhed, idet det præcise indhold og rækkevidden af en

række af direktivforslagets bestemmelser giver anledning til betydelig

tvivl.

Forslaget vurderes at have statsfinansielle konsekvenser.

Efter et foreløbigt skøn baseret på de foreliggende forslag (forordning og

direktiv) vil reformpakken om databeskyttelse medføre øgede omkostnin-

ger. Det følger af budgetreglerne, at finansieringen af disse øgede omkost-

ninger skal holdes inden for Justitsministeriets ramme eller forelægges re-

geringens Ø-udvalg, hvis det skønnes, at dette ikke kan lade sige gøre.

5. Høring

Forslaget er sendt i høring hos følgende myndigheder og organisationer

mv.: Præsidenten for Vestre Landsret, Præsidenten for Østre Landsret,

Præsidenten for Sø- og Handelsretten, Præsidenterne for byretterne, Dom-

stolsstyrelsen, Datatilsynet, Rigsadvokaten, Rigspolitiet, Forbrugerom-

budsmanden, Aalborg Universitet (Juridisk Institut), Aarhus Universitet

(Juridisk Institut), Handelshøjskolen i Aarhus (Juridisk Institut), Handels-

højskolen i København (Juridisk Institut), Københavns Universitet, Syd-

dansk Universitet (Juridisk Institut), Den Danske Dommerforening, Dom-

PDF to HTML - Convert PDF files to HTML files

merfuldmægtigforeningen, HK Landsklubben Danmarks Domstole, For-

eningen af Offentlige Anklagere, Advokatrådet, Danske Advokater, DJØF,

Foreningen af Advokater og Advokatfuldmægtige, Politiforbundet, Lands-

foreningen af Forsvarsadvokater, Dansk Fængselsforbund, Foreningen af

Fængselsinspektører og Vicefængselsinspektører, Fængselsforbundet, HK

Landsklubben for Kriminalforsorgen, Kriminalforsorgsforeningen, Dansk

Socialrådgiverforening, Faggruppen af socialrådgivere i Kriminalforsor-

gen, Amnesty International, Institut for Menneskerettigheder, Kriminalpo-

litisk Forening (KRIM), Retspolitisk Forening og Retssikkerhedsfonden.

Høringsfristen er fastsat til den 1. oktober 2012.

6. Nærhedsprincippet

Kommissionen har om nærhedsprincippet anført, at retten til beskyttelse af

personoplysninger, som er udtrykkeligt fastsat i artikel 8 i Den Europæiske

Unions charter om grundlæggende rettigheder og i TEUF artikel 16, stk. 1,

forudsætter samme databeskyttelsesniveau i hele EU.

Herudover er der ifølge Kommissionen et voksende behov for, at de rets-

håndhævende myndigheder i medlemsstaterne behandler og udveksler op-

lysninger stadig hurtigere med henblik på at forebygge og bekæmpe kri-

minalitet på tværs af grænserne og terrorisme. I den forbindelse vil klare

og sammenhængende regler om databeskyttelse på EU-plan efter Kommis-

sionens opfattelse medvirke til at styrke samarbejdet mellem de pågælden-

de myndigheder.

Der er ifølge Kommissionen desuden en række praktiske udfordringer i

forbindelse med håndhævelsen af lovgivningen om databeskyttelse og et

behov for samarbejde mellem medlemsstaterne og deres myndigheder,

som bør organiseres på EU-plan for at sikre en ensartet anvendelse af EU-

lovgivningen. I visse situationer er EU ifølge Kommissionen desuden mest

velegnet til effektivt og ensartet at sikre det samme beskyttelsesniveau for

fysiske personer, når deres personoplysninger videregives til tredjelande.

Det er Kommissionens opfattelse, at medlemsstaterne ikke selv kan mind-

ske de aktuelle problemer, navnlig ikke problemerne vedrørende de natio-

nale lovgivningers fragmentering. Der er også et specifikt behov for at

skabe en harmoniseret og sammenhængende ramme, som muliggør nem

udveksling af personoplysninger på tværs af EU's grænser, samtidig med

at alle fysiske personer i EU sikres effektiv beskyttelse.

PDF to HTML - Convert PDF files to HTML files

Ifølge Kommissionen vil den foreslåede EU-lovgivning være mere effektiv

end tilsvarende lovgivning på medlemsstatsniveau på grund af problemer-

nes karakter og omfang, som ikke kun gør sig gældende for én eller nogle

få medlemsstater.

Forslagets mål kan derfor ifølge Kommissionen bedre gennemføres på

EU-niveau. Efter Kommissionens opfattelse vil et direktiv være det bedste

instrument til at sikre harmonisering på EU-plan på dette område, samtidig

med at medlemsstaterne får den nødvendige fleksibilitet til at gennemføre

principperne, reglerne og undtagelserne herfor på nationalt plan.

Regeringen er umiddelbart enig med Kommissionen i, at klare og sam-

menhængende regler om databeskyttelse på EU-plan kan medvirke til at

styrke samarbejdet mellem de retshåndhævende myndigheder i medlems-

staterne med henblik på at forebygge og bekæmpe kriminalitet på tværs af

grænserne og terrorisme. På den baggrund er det regeringens foreløbige

vurdering, at nærhedsprincippet et overholdt i forhold til reguleringen af

personoplysninger, der udveksles eller stilles til rådighed mellem en dansk

og en udenlandsk myndighed i forbindelse med de kompetente myndighe-

ders forebyggelse, efterforskning, opdagelse eller retsforfølgning af straf-

felovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner.

Når det derimod gælder behandling af personoplysninger, der finder sted i

sager uden et grænseoverskridende element inden for det politimæssige og

strafferetlige område, er det efter regeringens opfattelse umiddelbart mere

tvivlsomt, om nærhedsprincippet er opfyldt. For det første kan det på nu-

værende tidspunkt ikke udelukkes, at en vedtagelse af det foreliggende

forslag vil betyde en harmonisering af (dele af) medlemsstaternes nationa-

le straffeprocessuelle regler. For det andet finder regeringen, at det endnu

er for tidligt at drage konklusioner i forhold til den praktiske værdi af

rammeafgørelsen. Det bemærkes i den forbindelse, at der endnu ikke er fo-

retaget en omfattende evaluering af rammeafgørelsen. Der kan i øvrigt pe-

ges på, at det – ifølge Kommissionens rapport om implementeringen af

rammeafgørelsen (KOM (2012) 12 endelig) – alene er Italien, Nederlande-

ne og Tjekkiet, som har oplyst, at forskellige databehandlingsregler for sa-

ger med og uden et grænseoverskridende element medfører vanskeligheder

for myndighederne. På den baggrund er det efter regeringens opfattelse

umiddelbart vanskeligt at se behovet for at udvide forslagets anvendelses-

område til også at omfatte behandlinger af personoplysninger uden et

grænseoverskridende element.

PDF to HTML - Convert PDF files to HTML files

Som det fremgår ovenfor, har Kommissionen anført, at der er en række

praktiske udfordringer i forbindelse med håndhævelsen af lovgivningen

om databeskyttelse. Regeringen vil i øvrigt i lyset af de indkomne hørings-

svar være opmærksom på, hvorvidt sådanne vanskeligheder også ses at fo-

religge i forbindelse med de relevante danske myndigheders opgavevare-

tagelse.

7. Andre landes kendte holdninger

Der ses ikke at foreligge offentlige tilkendegivelser om de øvrige med-

lemsstaters holdning til forslaget.

8. Foreløbig generel dansk holdning

Fra dansk side er man på nuværende tidspunkt umiddelbart positivt indstil-

let over for de dele af forslaget, der regulerer behandling af personoplys-

ninger, hvori der indgår et grænseoverskridende element.

Fra dansk side er man dog foreløbigt skeptisk indstillet over for de dele af

forslaget, der regulerer behandling af personoplysninger, hvori der ikke

indgår et grænseoverskridende element. For det første kan det på nuvæ-

rende tidspunkt ikke udelukkes, at en vedtagelse af det foreliggende for-

slag vil betyde en harmonisering af (dele af) medlemsstaternes nationale

straffeprocessuelle regler, som der ikke forekommer at være et behov for.

For det andet finder regeringen, at det endnu er for tidligt at drage konklu-

sioner i forhold til den praktiske værdi af rammeafgørelsen. Det bemærkes

i den forbindelse, at der endnu ikke er foretaget en omfattende evaluering

af rammeafgørelsen. Der kan i øvrigt peges på, at det – ifølge Kommissio-

nens rapport om implementeringen af rammeafgørelsen (KOM (2012) 12

endelig) – alene er Italien, Nederlandene og Tjekkiet, som har oplyst, at

forskellige databehandlingsregler for sager med og uden et grænseover-

skridende element medfører vanskeligheder for myndighederne. På den

baggrund er det efter regeringens opfattelse umiddelbart vanskeligt at se

behovet for at udvide forslagets anvendelsesområde til også at omfatte be-

handlinger af personoplysninger uden et grænseoverskridende element.

Regeringen finder således, at det ville have været mere naturligt, hvis

Kommissionen havde afventet udfaldet af denne evaluering af rammeafgø-

relsen, før den fremsatte forslag til en ny retsakt.

Det er endvidere Justitsministeriets umiddelbare vurdering, at forslagets

betingelser for videregivelse af personoplysninger til tredjelande kan få en

ikke ubetydelig indflydelse på samarbejdet med disse lande inden for det

strafferetlige område. Det bemærkes bl.a., at en positiv afgørelse om til-

PDF to HTML - Convert PDF files to HTML files

strækkeligt databeskyttelsesniveau fra Kommissionen synes at forudsætte,

at det pågældende tredjeland eller den internationale organisation har ved-

taget regler om beskyttelsen af personoplysninger, der i vidt omfang svarer

til reglerne i direktivforslaget. Det bemærkes endvidere, at forslaget ikke

synes at tage hensyn til medlemsstaternes eksisterende forpligtelser i de bi-

laterale aftaler, som den enkelte medlemsstat har indgået med tredjelande

om gensidig retshjælp på det strafferetlige område, jf. pkt. 2.10 ovenfor.

Under alle omstændigheder er det efter regeringens opfattelse afgørende,

at de nye databeskyttelsesregler skaber den rette balance mellem hensynet

til databeskyttelsen og hensynet til, at de kompetente myndigheder kan va-

retage deres opgaver effektivt og smidigt.

Endvidere vil en stillingtagen bero på en vurdering af, om forslaget skaber

den rette balance mellem merværdi og omkostninger, herunder i form af

administrative konsekvenser.

Fra dansk side vil man bl.a. arbejde for, at omkostningerne ved en eventuel

gennemførelse af forslaget reduceres i forhold til Kommissionens forslag.

Det bemærkes i øvrigt, at det præcise indhold og rækkevidden af en række

af direktivforslagets bestemmelser giver anledning til betydelig tvivl, som

Justitsministeriet vil søge afklaret under de kommende forhandlinger. Der

vil derfor være behov for på et senere tidspunkt i forhandlingerne at fore-

tage en nøjere vurdering af forslagets indhold. En nærmere stillingtagen til

forslaget må afvente denne vurdering, der bl.a. vil finde sted på baggrund

af den iværksatte høring over forslaget, jf. pkt. 5 ovenfor, samt en vurde-

ring af de statsfinansielle og administrative konsekvenser.

9. Orientering af andre af Folketingets udvalg

Grundnotatet sendes – ud over til Folketingets Europaudvalg – til Folke-

tingets Retsudvalg.