Fremsat den 28. marts 2008 af
justitsministeren (Lene Espersen)
Forslag til folketingsbeslutning
om udkast til rammeafgørelse om
beskyttelse af personoplysninger i forbindelse med politisamarbejde
og retligt samarbejde i kriminalsager
»Folketinget meddeler sit samtykke til, at Danmark i
Rådet for Den Europæiske Union medvirker til
vedtagelsen af udkastet til rammeafgørelse om beskyttelse af
personoplysninger i forbindelse med politisamarbejde og retligt
samarbejde i kriminalsager.«
Bemærkninger til forslaget
Indholdsfortegnelse
1. | Formålet med fremsættelse af
forslaget til folketingsbeslutning | 3 |
2. | Baggrund og hovedpunkter | 4 |
| | 2.1. | Baggrunden for udkastet til
rammeafgørelse | 4 |
| | 2.2. | Rammeafgørelsens hovedpunkter | 4 |
3. | Indholdet af udkastet til
rammeafgørelsen. | 5 |
| | 3.1. | Anvendelsesområde og
definitioner | 5 |
| | 3.2. | Behandlingsregler | 5 |
| | 3.3. | Datakvalitet mv. | 7 |
| | 3.4. | Den registreredes rettigheder | 8 |
| | 3.5. | Behandlingssikkerhed | 9 |
| | 3.6. | Tilsyn, domstolsprøvelse,
erstatning og sanktioner | 9 |
| | 3.7. | Øvrige bestemmelser mv | 10 |
4. | De lovgivningsmæssige konsekvenser
af udkastet til rammeafgørelse | 11 |
| | 4.1 | Indledende bemærkninger | 11 |
| | 4.2. | Anvendelsesområde og
definitioner | 11 |
| | 4.3. | Behandlingsregler | 12 |
| | 4.4. | Datakvalitet mv. | 14 |
| | 4.5. | Den registreredes rettigheder | 15 |
| | 4.6. | Behandlingssikkerhed | 16 |
| | 4.7. | Tilsyn, domstolsprøvelse,
erstatning og sanktioner | 17 |
| | 4.8. | Øvrige bestemmelser mv. | 18 |
5. | Økonomiske konsekvenser | 18 |
1. Formålet med
fremsættelse af forslaget til folketingsbeslutning
Formålet med fremsættelse af forslaget til
folketingsbeslutning er efter grundlovens § 19 at
opnå Folketingets samtykke til, at regeringen på
Danmarks vegne medvirker til Rådet for Den Europæiske
Unions vedtagelse af et udkast til rammeafgørelse om
beskyttelse af personoplysninger i forbindelse med politisamarbejde
og retligt samarbejde i kriminalsager (den såkaldte
rammeafgørelse om databeskyttelse). Udkastet til
rammeafgørelse, som affattet den 11. december 2007, er
medtaget som bilag 1.
Udkastet til rammeafgørelse er på grundlag af et
forslag fra Kommissionen udarbejdet under henvisning til traktaten
om Den Europæiske Union (TEU), særlig artikel 30 om
fælles handling vedrørende politisamarbejde, artikel
31 om fælles handling vedrørende retligt samarbejde i
kriminalsager samt artikel 34, stk. 2, litra b), hvorefter
Rådet på initiativ af en medlemsstat eller Kommissionen
med enstemmighed kan vedtage rammeafgørelser om indbyrdes
tilnærmelse af medlemsstaternes love og administrative
bestemmelser.
Rammeafgørelser er et instrument, som Den
Europæiske Union kan benytte sig af inden for det
mellemstatslige samarbejde på det politimæssige og
strafferetlige område (TEU afsnit VI). Rammeafgørelser
er bindende for medlemsstaterne med hensyn til det tilsigtede
mål, men overlader det til de nationale myndigheder at
bestemme form og midler for gennemførelsen.
Rammeafgørelser indebærer ikke umiddelbar
anvendelighed.
Rammeafgørelser har således karakter af en
folkeretligt bindende forpligtelse for medlemsstaterne, der
indtræder ved Rådets vedtagelse af
rammeafgørelsen. Medlemsstaterne er forpligtede til at sikre
gennemførelsen af rammeafgørelsen i national ret,
herunder om nødvendigt i kraft af lovgivningsmæssige
initiativer.
På den baggrund forudsætter Danmarks medvirken til
Rådets vedtagelse af rammeafgørelser, der kræver
ændringer af dansk lovgivning, Folketingets forudgående
samtykke efter grundlovens § 19, stk. 1.
Denne fremgangsmåde blev i øvrigt anvendt i
forbindelse med Rådets vedtagelse af rammeafgørelsen
om styrkelse af beskyttelsen af falskmøntneri ved
hjælp af strafferetlige og andre sanktioner, i forbindelse
med indførelsen af euroen, jf. Folketingstidende 1999-2000,
Tillæg A, side 7738-7747, i forbindelse med Rådets
vedtagelse af rammeafgørelsen om den europæiske
arrestordre, jf. Folketingstidende 2001-2002, 2. samling,
Tillæg A, side 5277-5310, i forbindelse med Rådets
vedtagelse af rammeafgørelsen om fuldbyrdelse i Den
Europæiske Union af kendelser om indefrysning af formuegoder
eller bevismateriale, jf. Folketingstidende 2002-2003, Tillæg
A, side 6798-6820, og senest i forbindelse med Rådets
vedtagelse af rammeafgørelsen om skærpelse af de
strafferetlige rammer med henblik på håndhævelse
af lovgivningen til bekæmpelse af forurening fra skibe, jf.
Folketingstidende 2004-05, 2. samling, Tillæg A, side
7650-7678.
Udkastet til rammeafgørelse om databeskyttelse
indeholder bestemmelser, der vurderes at
nødvendiggøre ændringer af dansk lovgivning.
Danmarks medvirken til Rådets vedtagelse af
rammeafgørelsen forudsætter derfor Folketingets
forudgående samtykke, jf. grundlovens § 19,
stk. 1.
På den baggrund opretholdt Danmark på
rådsmødet (retlige og indre anliggender) den 8.- 9.
november 2007, hvor der - med forbehold for en teknisk gennemgang
af teksten - blev opnået grundlæggende politisk enighed
om udkastet til rammeafgørelse, et parlamentarisk forbehold
over for udkastet til rammeafgørelse.
Efter det oplyste sigter det slovenske formandskab mod, at
udkastet til rammeafgørelse kan vedtages på et
rådsmøde i første halvdel af 2008. Dette
skyldes dels et ønske om, at de fælles
databeskyttelsesregler i rammeafgørelsen hurtigst muligt kan
finde anvendelse i forbindelse med udveksling af personoplysninger
inden for rammerne af det politimæssige og strafferetlige
samarbejde mellem medlemsstaterne, dels et ønske om, at
rammeafgørelsen vedtages af Rådet inden
ikrafttrædelsen af de traktatændringer, som
følger af Lissabon-Traktaten. Traktatændringerne vil
bl.a. betyde, at bestemmelserne om politimæssigt samarbejde
og retligt samarbejde i straffesager indsættes i et samlet
afsnit om et område med frihed, sikkerhed og
retfærdighed (i Traktaten om Den Europæiske Unions
Funktionsmåde, tredje del, afsnit IV), der også
omfatter bestemmelserne om grænsekontrol, visum, asyl og
indvandring samt civilretligt samarbejde. EU-samarbejdet på
området vil således med Lissabon-Traktaten blive
overstatsligt, og rammeafgørelsen, der som nævnt er et
mellemstatsligt instrument, vil derfor efter ikrafttrædelsen
af Lissabon-Traktaten ikke kunne vedtages i den udformning, som der
er opnået politisk enighed om i Rådet.
Formålet med beslutningsforslaget er på den
baggrund at gøre det muligt for Danmark hurtigt at kunne
hæve det parlamentariske forbehold og medvirke til
vedtagelsen af rammeafgørelsen. Det forventes, at et
lovforslag med henblik på gennemførelse af
rammeafgørelsen i dansk ret vil kunne fremsættes i
løbet af folketingsåret 2008-2009.
2. Baggrund og hovedpunkter
2.1. Baggrunden for udkastet til
rammeafgørelse
2.1.1. Europa-Parlamentet og
Rådet vedtog i 1995 et direktiv om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om
fri udveksling af sådanne oplysninger (direktiv nr. 95/46).
Det pågældende direktiv suppleres af et direktiv fra
2002 om behandling af personoplysninger og beskyttelse af
privatlivets fred i den elektroniske kommunikationssektor (direktiv
nr. 2002/58).
Direktiverne er vedtaget med hjemmel i EF-Traktatens artikel
95 om harmonisering af medlemsstaternes lovgivning af hensyn til
det indre marked, og de tager således sigte på
beskyttelse af personoplysninger på EF-Traktatens
anvendelsesområde (det vil sige på området for 1.
søjlesamarbejdet). Det fremgår således
udtrykkeligt af direktiverne, at de ikke gælder for
aktiviteter, der falder uden for anvendelsesområdet for
fællesskabsretten, såsom aktiviteter, der er omhandlet
i TEU afsnit VI (dvs. det politimæssige og strafferetlige
samarbejde inden for den 3. søjle), og at de under ingen
omstændigheder gælder for behandling i forbindelse med
den offentlige sikkerhed, forsvaret, statens sikkerhed og statens
aktiviteter på det strafferetlige område.
2.1.2. Inden for området for
politimæssigt og strafferetligt samarbejde (under
søjle 3) er der navnlig inden for de seneste år
vedtaget en række EU-retsakter, som har til formål at
udbygge og styrke udvekslingen af personoplysninger mellem
medlemsstaternes kompetente myndigheder med henblik på
kriminalitetsbekæmpelse. Det drejer sig bl.a. om bestemmelser
om udveksling af personoplysninger i det såkaldte
Schengen-informationssystem og om udveksling af personoplysninger
direkte mellem EU-medlemsstaternes myndigheder eller som led i
politisamarbejdet inden for Europol.
Der er i et vist omfang i de enkelte retsakter fastsat
specifikke regler om persondatabeskyttelse. Der er imidlertid ikke
inden for området for politimæssigt og strafferetligt
samarbejde fastsat generelle regler om beskyttelse af
personoplysninger.
I præambelteksten til udkastet til rammeafgørelse
(betragtning nr. 3) er det anført, at fælles
standarder for behandling og beskyttelse af personoplysninger, der
behandles med henblik på forebyggelse og bekæmpelse af
kriminalitet, vil kunne bidrage til at styrke politisamarbejdet og
det retlige samarbejde i kriminalsager for så vidt
angår såvel effektiviteten af dette samarbejde som dets
legitimitet og overensstemmelse med de grundlæggende
rettigheder, navnlig retten til privatlivets fred og til
beskyttelse af personoplysninger. Der peges i præambelteksten
endvidere på behovet for en nyskabende tilgang til
udvekslingen på tværs af grænserne af oplysninger
vedrørende retshåndhævelse under streng
overholdelse af en række væsentlige krav på
databeskyttelsesområdet, jf. herved betragtning nr. 4 og
5.
Kommissionen fremsatte i lyset heraf i oktober 2005 et forslag
til Rådets rammeafgørelse om beskyttelse af
personoplysninger i forbindelse med det politimæssige og
strafferetlige samarbejde.
Som tidligere nævnt blev der i Rådet - med
forbehold for en teknisk gennemgang af teksten - opnået
grundlæggende politisk enighed om et udkast til
rammeafgørelse på rådsmødet den 8.- 9.
november 2007. Det må herefter forventes, at et udkast til
rammeafgørelse vil blive forelagt for Coreper med henblik
på samlet godkendelse, inden der foretages den
sædvanlige juridisk-sproglige gennemgang af udkastet.
Herefter vil udkastet - når alle parlamentariske forbehold
fra medlemsstaterne er ophævet - kunne vedtages.
2.2. Rammeafgørelsens
hovedpunkter
2.2.1. Formålet med udkastet
til rammeafgørelse er at sikre beskyttelsen af
personoplysninger, der behandles inden for rammerne af det
politimæssige og strafferetlige samarbejde mellem
medlemsstaterne.
I overensstemmelse hermed fastsættes der i udkastet til
rammeafgørelse en række bestemmelser, som tager sigte
på at beskytte fysiske personers grundlæggende
rettigheder og frihedsrettigheder og navnlig deres ret til
privatlivets fred i forbindelse med grænseoverskridende
udveksling af personoplysninger inden for det politi- og
strafferetlige område.
Rammeafgørelsen indeholder bl.a. en række
grundlæggende regler for behandling af personoplysninger. Den
indeholder også regler om datakvalitet mv. og
behandlingssikkerhed, ligesom der i rammeafgørelsen er
fastsat bestemmelser om tilsyn, domstolsprøvelse, erstatning
og sanktioner. Rammeafgørelsen indeholder desuden regler for
specifikke former for databehandling, herunder regler om
viderebehandling af personoplysninger modtaget fra andre
medlemsstater og om videregivelse af sådanne oplysninger til
private og tredjelande/internationale organisationer. Herudover
indeholder rammeafgørelsen bl.a. regler om den registreredes
rettigheder.
Med rammeafgørelsens regler, herunder navnlig reglerne
om vilkårene for at viderebehandle personoplysninger modtaget
fra andre medlemsstater og videregive sådanne oplysninger til
private og tredjelande/internationale organisationer, sker der en
styrkelse af databeskyttelsen i forbindelse med, at der mellem
medlemsstaterne udveksles personoplysninger som led i det
politimæssige og strafferetlige samarbejde.
2.2.2. Rammeafgørelsen
finder - ligesom persondataloven - anvendelse på behandling
af personoplysninger, der helt eller delvis foretages elektronisk,
og på ikke-elektronisk behandling af personoplysninger, der
er eller vil blive indeholdt i et register.
Den regulering, som foreslås i udkastet til
rammeafgørelse, afspejles i nogen grad allerede i den
gældende danske persondatalov (med tilhørende
bekendtgørelser). Det kan dog bl.a. nævnes, at
persondataloven ikke - på samme måde som udkastet til
rammeafgørelse - indeholder særlige og detaljerede
bestemmelser om udveksling af personoplysninger med andre
medlemsstater eller om yderligere behandling, herunder
videregivelse, af oplysninger, der er modtaget fra eller stillet
til rådighed af andre medlemsstaters kompetente myndigheder.
Også med hensyn til den registreredes rettigheder må
udkastet til rammeafgørelse antages at gå videre i sin
regulering end gældende dansk lovgivning.
Uanset de nævnte forskelle må udkastet til
rammeafgørelse efter Justitsministeriets opfattelse samlet
set antages i meget vidt omfang at kunne gennemføres inden
for rammerne af gældende dansk ret. Gennemførelsen af
rammeafgørelsen i Danmark kan således efter
Justitsministeriets opfattelse kun antages på enkelte punkter
at nødvendiggøre lovændringer, jf. herom
nærmere under pkt. 4.
3. Indholdet af udkastet til
rammeafgørelsen
3.1. Anvendelsesområde og
definitioner
3.1.1. Udkastet til
rammeafgørelse indeholder i artikel 1 regler om
rammeafgørelsens formål og
anvendelsesområde.
Bestemmelsen fastsætter, at rammeafgørelsen
finder anvendelse, når der med henblik på at forebygge,
efterforske, afsløre eller retsforfølge
straffelovovertrædelser eller fuldbyrde strafferetlige
sanktioner udveksles eller er udvekslet personoplysninger mellem
medlemsstater (enten i form af videregivelse af personoplysninger
eller ved at personoplysninger stilles eller er stillet til
rådighed for en anden medlemsstat). Rammeafgørelsen
finder endvidere anvendelse, når personoplysninger udveksles
eller er udvekslet mellem på den ene side kompetente
myndigheder i medlemsstaterne og på den anden side organer
eller informationssystemer inden for EU-samarbejdet, jf. herved
nærmere artikel 1, stk. 2.
Rammeafgørelsen tager således sigte på den
grænseoverskridende informationsudveksling i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager - og den
finder inden for dette område anvendelse på behandling
af personoplysninger, der helt eller delvis foretages elektronisk,
samt på ikke-elektronisk behandling af personoplysninger, der
er eller vil blive indeholdt i et register, jf. artikel 1,
stk. 3. Der henvises i den forbindelse i øvrigt til
betragtning nr. 6 og 6a-6b.
Af sidstnævnte betragtning fremgår, at
medlemsstaterne - for at fremme udvekslingen af oplysninger i EU -
agter at sikre, at den standard for databeskyttelse, der anvendes i
behandlingen af oplysninger på nationalt plan, stemmer
overens med standarden i rammeafgørelsen. Det er i forhold
til behandling og indsamling af personoplysninger på
nationalt niveau endvidere bestemt, at rammeafgørelsen ikke
er til hinder for, at medlemsstaterne yder sikkerhedsgarantier, der
er mere omfattende end dem, der er fastsat i
rammeafgørelsen, jf. herved artikel 1, stk. 5.
Rammeafgørelsen berører ikke væsentlige
nationale sikkerhedsinteresser og specifikke
efterretningsaktiviteter vedrørende national sikkerhed, jf.
artikel 1, stk. 4.
3.1.2. Udkastet til
rammeafgørelse indeholder i artikel 2 en række
definitioner af databeskyttelsesmæssige begreber, som
anvendes i rammeafgørelsen. Det drejer sig bl.a. om
begreberne »personoplysninger«,
»behandling«, »register«,
»registerfører«, »modtager«,
»den registreredes samtykke« og »den
registeransvarlige«, som i meget vidt omfang svarer til de
definitioner, der anvendes i persondataloven (og det bagvedliggende
databeskyttelsesdirektiv).
Rammeafgørelsen indeholder dog enkelte nyskabelser (i
forhold til persondatalovens og databeskyttelsesdirektivets
definitioner). Således defineres »kompetente
myndigheder« som myndigheder, der er oprettet ved retsakter
vedtaget af Rådet i henhold til afsnit VI i TEU, samt politi,
toldvæsen, retslige myndigheder og andre kompetente
myndigheder i medlemsstaterne, der i henhold til national lov har
beføjelse til at behandle personoplysninger inden for
rammeafgørelsens anvendelsesområde.
Rammeafgørelsen indeholder også (nye) definitioner af
begreberne »blokering«, »at gøre
anonymt« og »referenceangivelse«.
3.2. Behandlingsregler
3.2.1. Udkastet til
rammeafgørelse indeholder en række bestemmelser, der
har karakter af materielle behandlingsregler. Det drejer sig dels
om en række grundlæggende regler, dels om detaljerede
regler om, i hvilket omfang en medlemsstat må viderebehandle
personoplysninger, der modtages fra eller stilles til
rådighed af en anden medlemsstat.
3.2.2. Artikel 3 forpligter
medlemsstaterne til at følge visse grundlæggende
behandlingsprincipper, når der indsamles oplysninger. De
kompetente myndigheder må kun indsamle personoplysninger til
udtrykkeligt angivne og legitime formål inden for rammerne af
deres opgaver. Behandlingen af oplysningerne skal være lovlig
og tilstrækkelig, relevant og stå i et rimeligt forhold
til formålet.
Indsamlede oplysninger må som udgangspunkt kun behandles
til det formål, som de er indsamlet til. Viderebehandling til
et andet formål er dog tilladt, hvis denne behandling ikke er
uforenelig med det formål, hvortil oplysningerne er
indsamlet, de kompetente myndigheder er bemyndiget til at behandle
oplysningerne efter de for dem gældende retsforskrifter, og
behandlingen er nødvendig for og hensigtsmæssig i
forhold til dette formål. Derudover må de kompetente
myndigheder viderebehandle de videregivne personoplysninger til
historiske, statistiske eller videnskabelige formål, hvis
medlemsstaterne fastsætter passende garantier, som f.eks. ved
at oplysningerne gøres anonyme.
3.2.3. For så vidt
angår behandling af følsomme personoplysninger,
hvorved forstås oplysninger om racemæssig eller etnisk
baggrund, politisk, religiøs eller filosofisk overbevisning
og fagforeningsmæssigt tilhørsforhold samt oplysninger
om helbredsforhold eller seksuelle forhold, fastsættes det i
artikel 7, at behandling af disse typer af oplysninger kun er
tilladt, når det er strengt nødvendigt, og når
der er fastsat passende sikkerhedsgarantier i den nationale
lovgivning.
3.2.4. Efter artikel 8 forpligtes
medlemsstaterne til at sikre, at afgørelser, der har
negative retlige virkninger for den registrerede eller
påvirker vedkommende betydeligt, og som udelukkende er
baseret på elektronisk databehandling med henblik på
vurdering af individuelle aspekter vedrørende den
registreredes person, kun er tilladt, når den registreredes
legitime interesser er sikret ved lov. Bestemmelsen må
antages bl.a. at tage sigte på tilfælde, hvor der i en
medlemsstat eksempelvis udstedes bøder alene på
baggrund af elektroniske hastighedsmålere.
3.2.5. Som tidligere nævnt
indeholder udkastet til rammeafgørelse - foruden de
nævnte grundlæggende behandlingsregler - en række
detaljerede regler om, i hvilket omfang en medlemsstat må
viderebehandle personoplysninger, der modtages fra eller stilles
til rådighed af en anden medlemsstat.
Den centrale bestemmelse fremgår af
rammeafgørelsens artikel 12, som fastsætter, at der -
ud over de formål, hvortil oplysninger er modtaget eller
stillet til rådighed af en anden medlemsstat - kun må
ske viderebehandling af personoplysninger (i den modtagende
medlemsstat) til følgende formål:
- Forebyggelse,
efterforskning, afsløring eller retsforfølgning af
straffelovsovertrædelser eller fuldbyrdelse af strafferetlige
sanktioner i forbindelse med andre straffelovsovertrædelser
eller sanktioner end dem, hvortil de omhandlede personoplysninger
blev videregivet eller stillet til rådighed,
- andre retlige og
administrative procedurer, som hænger direkte sammen med
forebyggelse, efterforskning, afsløring eller
retsforfølgning af straffelovsovertrædelser eller
fuldbyrdelse af strafferetlige sanktioner,
- afværgelse
af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed,
eller
- historiske,
statistiske eller videnskabelige formål, hvis medlemsstaterne
fastsætter passende garantier, som f.eks. ved at
oplysningerne gøres anonyme.
Hvis en medlemsstat derudover ønsker at viderebehandle
personoplysninger, der modtages fra eller stilles til
rådighed af en anden medlemsstat, til andre formål (end
dem, hvortil oplysningerne oprindelig blev udvekslet), kræver
det enten forhåndsgodkendelse fra den videregivende
medlemsstat eller samtykke fra den registrerede i overensstemmelse
med national ret.
3.2.6. Rammeafgørelsen
indeholder i artikel 14 bestemmelser om videregivelse til
kompetente myndigheder i tredjelande og internationale organer
eller organisationer af personoplysninger, som modtages fra eller
stilles til rådighed af en anden medlemsstat.
Den grundlæggende ordning efter bestemmelsen er, at
videregivelse til tredjelande mv. kræver samtykke fra den
medlemsstat, som har indsamlet oplysningerne (og afgivet dem til en
anden medlemsstat), og at det pågældende tredjeland mv.
skal sikre et tilstrækkeligt beskyttelsesniveau, jf. i den
forbindelse nærmere artikel 14, stk. 4. Derudover skal
videregivelsen være nødvendig for forebyggelse,
efterforskning, afsløring eller retsforfølgning af
straffelovsovertrædelser eller fuldbyrdelse af strafferetlige
sanktioner, og den modtagende myndighed i tredjelandet mv. skal
have ansvaret for at forebygge, efterforske, afsløre eller
retsforfølge straffelovsovertrædelser eller fuldbyrde
strafferetlige sanktioner.
Kravet om samtykke (forhåndsgodkendelse) fra den
medlemsstat, som har indsamlet oplysningerne (og afgivet dem til en
anden medlemsstat), kan kun fraviges, hvis videregivelsen af
oplysningerne er afgørende for forebyggelse af en umiddelbar
og alvorlig trussel mod den offentlige sikkerhed i en medlemsstat
eller et tredjeland eller en medlemsstats væsentlige
interesser, og samtykket (forhåndsgodkendelsen) ikke kan
indhentes i tide, jf. artikel 14, stk. 2. Den myndighed, der
skal give sin godkendelse, skal orienteres omgående.
Kravet om, at det pågældende tredjeland mv. skal
sikre et tilstrækkeligt beskyttelsesniveau, kan kun fraviges,
hvis den nationale lovgivning i den medlemsstat, der videregiver
oplysningerne, giver mulighed herfor på grund af den
registreredes specifikke legitime interesser eller på grund
af legitime vigtige interesser, navnlig vigtige offentlige
interesser, eller tredjelandet mv. giver tilstrækkelige
sikkerhedsgarantier, jf. artikel 14, stk. 3.
3.2.7. For så vidt
angår spørgsmålet om videregivelse til private
af personoplysninger, der modtages fra eller stilles til
rådighed af en anden medlemsstat, fastsætter
rammeafgørelsens artikel 14a, at dette kun kan ske i
begrænset omfang.
Videregivelse til private må således kun finde
sted, hvis den medlemsstat, hvor oplysningerne er indsamlet, har
givet tilladelse til videregivelsen. Det er endvidere en
betingelse, at den registreredes specifikke legitime interesser
ikke forhindrer videregivelse, og at videregivelse af oplysninger i
særlige tilfælde er afgørende for, at den
kompetente myndighed, der videregiver oplysningerne til private,
kan varetage en række nærmere angivne hensyn. Det
fremgår i den forbindelse af betragtning nr. 10a i
præambelteksten, at artikel 14a ikke berører
videregivelse af oplysninger til private (f.eks. forsvarsadvokater
og ofre) som led i straffesager. Om betydningen af artikel 14a kan
i øvrigt henvises til betragtning nr. 10.
Den myndighed, der videregiver oplysningerne til en
privatperson, orienterer denne om, hvilke formål
oplysningerne udelukkende må anvendes til.
3.2.8. Efter
rammeafgørelsens artikel 13 er der åbnet mulighed for,
at den afgivende medlemsstat kan forpligte modtagerstaten til at
respektere særlige begrænsninger i forhold til
behandlingen af udvekslede personoplysninger. Hvis der gælder
særlige begrænsninger i den afgivende medlemsstat for
behandling af de personoplysninger, der er tale om at udveksle, kan
afgiverstaten således i medfør af artikel 13 orientere
modtagerstaten herom. Virkningen af en sådan orientering er,
at den modtagende medlemsstat forpligtes til at overholde de
særlige begrænsninger.
Den beskrevne ordning må antages bl.a. at kunne bruges
til at begrænse modtagerstatens mulighed for at behandle de
pågældende personoplysninger af hensyn til både
det formål, som oplysningerne udveksles til, og eventuelle
andre formål, som modtagerstaten i overensstemmelse med
f.eks. artikel 12 efterfølgende vil behandle oplysningerne
til.
Samtidig gælder der dog efter artikel 13 et
antidiskriminationsprincip, idet en medlemsstat ikke må
fastsætte andre sikkerhedsgarantier vedrørende
videregivelse til andre medlemsstater mv. end dem, der gælder
for en lignende national videregivelse.
3.2.9. Ifølge artikel 15
orienterer modtageren - efter anmodning - den myndighed, der har
videregivet eller stillet personoplysningerne til rådighed,
om behandlingen af oplysningerne.
3.3. Datakvalitet mv.
3.3.1. Udkastet til
rammeafgørelse indeholder en række bestemmelser, der
har til formål at sikre datakvaliteten af personoplysninger,
der udveksles mellem medlemsstaterne, og som har til formål
at sikre, at oplysninger ikke opbevares længere tid end
nødvendigt.
3.3.2. Artikel 4 forpligter
medlemsstaterne til at sikre, at der foretages fornøden
ajourføring af oplysningerne, herunder at oplysninger
rettes, hvis de er urigtige, at oplysninger slettes eller
anonymiseres, hvis de ikke længere er nødvendige til
de formål, som de er indsamlet til, eller hvortil de
viderebehandles på lovlig vis, og at oplysninger (som
alternativ til sletning) blokeres, hvis der er rimelig grund til at
tro, at en sletning kunne påvirke den registreredes legitime
interesser. Blokerede oplysninger må kun behandles til det
formål, der gjorde, at de ikke blev slettet.
Kravet om sletning eller anonymisering af personoplysninger,
der ikke længere er nødvendige til de formål,
som de er indsamlet til, eller hvortil de viderebehandles på
lovlig vis, berører ikke adgangen til at foretage arkivering
af oplysninger i en særskilt samling i en passende periode i
henhold til national lovgivning, jf. i den forbindelse betragtning
nr. 8b.
Når personoplysninger er indeholdt i en
retsafgørelse eller i et register, der er knyttet til
udstedelsen af en retsafgørelse, skal rettelsen, sletningen
eller blokeringen gennemføres i henhold til de nationale
retsplejeregler, jf. artikel 4, stk. 4.
3.3.3. Rammeafgørelsens
artikel 6 forpligter herudover medlemsstaterne til at sikre, at der
fastsættes passende frister for sletningen af
personoplysninger eller regelmæssig undersøgelse af
behovet for lagringen. Det skal sikres ved proceduremæssige
foranstaltninger, at disse frister overholdes.
3.3.4. Efter artikel 10 kan den
videregivende myndighed i forbindelse med udveksling af
personoplysninger tilkendegive, hvilke nationale tidsfrister for
opbevaring af oplysninger der i vedkommende medlemsstat
gælder for de pågældende oplysninger. Virkningen
af en sådan tilkendegivelse er, at modtageren er forpligtet
til ved udløbet af fristen at slette eller blokere
oplysningerne eller undersøge, om der fortsat er behov for
dem. Dette gælder dog ikke, hvis oplysningerne skal bruges i
forbindelse med en igangværende undersøgelse,
retsforfølgelse af lovovertrædelser eller
håndhævelse af strafferetlige sanktioner.
Hvis den videregivende myndighed ikke har oplyst om nogen
national tidsfrist for opbevaring, gælder de tidsfrister, der
er fastsat i artikel 4 og 6 for opbevaring af oplysninger, som er
omhandlet i den modtagende medlemsstats lovgivning.
3.3.5. Artikel 9 forpligter
medlemsstaterne til at føre kontrol med kvaliteten af de
oplysninger, der videregives.
De kompetente myndigheder skal i den forbindelse træffe
alle rimelige foranstaltninger til at sikre, at personoplysninger,
der er urigtige, ufuldstændige eller ikke ajourførte,
ikke videregives eller stilles til rådighed. Myndighederne
skal så vidt muligt verificere kvaliteten af
personoplysningerne, før de videregives eller stilles til
rådighed. I forbindelse med al videregivelse af oplysninger
skal der så vidt muligt tilføjes tilgængelige
oplysninger, der gør det muligt for den modtagende
medlemsstat at vurdere, om oplysningerne er rigtige,
fuldstændige, ajourførte og pålidelige.
Hvis personoplysninger er blevet videregivet uanmodet, skal
den modtagende myndighed straks vurdere, om oplysningerne er
nødvendige til det formål, hvortil de er blevet
videregivet.
Hvis det konstateres, at der er videregivet urigtige
oplysninger, eller at oplysningerne er videregivet ulovligt,
meddeles dette straks modtageren. Oplysningerne skal i så
fald rettes, slettes eller blokeres omgående i
overensstemmelse med artikel 4.
3.3.6. Med henblik på at
sikre, at der kan foretages kontrol af, om databehandlingen er
lovlig, at der kan udøves egenkontrol, og at dataenes
integritet og sikkerhed sikres, fastsættes det i
rammeafgørelsens artikel 11, at alle videregivelser af
personoplysninger skal registreres eller dokumenteres.
Den nævnte registrering eller dokumentation for
videregivelse af personoplysninger udleveres til den kompetente
tilsynsmyndighed på dennes anmodning med henblik på
kontrol af databeskyttelsen. Den kompetente myndighed må kun
anvende de modtagne oplysninger med henblik på kontrol af
databeskyttelsen og med henblik på at sikre en korrekt
databehandling og dataenes integritet og sikkerhed.
3.4. Den registreredes
rettigheder
3.4.1. Udkastet til
rammeafgørelse indeholder i artikel 16-18 en række
bestemmelser om den registreredes rettigheder. Det nærmere
indhold af visse af rettighederne vil afhænge af, hvordan den
enkelte medlemsstat vælger at gennemføre
rammeafgørelsen i national ret.
3.4.2. Artikel 16 forpligter
medlemsstaterne til at sikre, at den registrerede er underrettet om
myndighedernes indsamling og behandling af personoplysninger i
henhold til den nationale lovgivning.
De nærmere bestemmelser for den registreredes ret til at
blive informeret og undtagelserne herfra fastlægges
således i den nationale lovgivning, jf. i den forbindelse
betragtning nr. 13a, hvor det bl.a. anføres, at underretning
kan ske generelt, f.eks. gennem lovgivning eller ved
offentliggørelse af en oversigt over behandlingerne.
Både den afgivende og den modtagende medlemsstat kan i
det enkelte tilfælde (i henhold til national lovgivning)
tilkendegive, at udvekslede oplysninger skal behandles fortroligt,
og at den registrerede ikke må informeres uden samtykke fra
vedkommende medlemsstat. I givet fald kan der kun ske underretning
af den registrerede, hvis den medlemsstat, som har modsat sig
dette, giver sit samtykke hertil.
3.4.3. Artikel 17 om retten til
indsigt fastslår, at en registreret person efter anmodning er
berettiget til - uden større ventetid eller større
udgifter - med rimelige mellemrum uhindret at modtage mindst en
bekræftelse fra den dataansvarlige eller den nationale
tilsynsmyndighed af, om der er udvekslet oplysninger om den
pågældende, samt i bekræftende fald information
om de modtagere eller kategorier af modtagere, oplysningerne er
videregivet til, og meddelelse om, hvilke oplysninger der er
omfattet af behandlingen.
Alternativt skal der (mindst) gives bekræftelse fra den
nationale tilsynsmyndighed på, at der er foretaget alle
fornødne kontroller.
Medlemsstaterne kan efter artikel 17, stk. 2,
træffe lovmæssige foranstaltninger, der begrænser
retten til indsigt, hvis en sådan begrænsning under
hensyn til den pågældende persons legitime interesser
er en nødvendig og proportionel foranstaltning:
- for at
undgå, at der lægges hindringer i vejen for officielle
eller retlige undersøgelser, efterforskninger eller
procedurer,
- for at
undgå, at forebyggelsen, afsløringen, efterforskningen
og retsforfølgning af strafbare handlinger skades, eller af
hensyn til fuldbyrdelsen af strafferetlige sanktioner,
- for at beskytte
den offentlige sikkerhed,
- for at beskytte
den nationale sikkerhed, eller
- for at beskytte
den registrerede eller andres rettigheder og
frihedsrettigheder.
Afslag på eller begrænsning af indsigtsretten skal
efter artikel 17, stk. 3, begrundes skriftligt, og i den
forbindelse skal de faktiske og retlige grunde, som
afgørelsen hviler på, også meddeles vedkommende.
En sådan meddelelse kan dog undlades, hvis dette kan
begrundes i henhold til de hensyn, som er nævnt i artikel 17,
stk. 2. Den registrerede skal i alle tilfælde vejledes
om vedkommendes klageadgang.
3.4.4. Herudover fremgår det
af rammeafgørelsens artikel 18, at den registrerede har ret
til at forvente, at den dataansvarlige overholder sine
forpligtelser i henhold til rammeafgørelsens bestemmelser om
berigtigelse, sletning og blokering af personoplysninger (i artikel
4, 9 og 10).
Medlemsstaterne bestemmer, om den registrerede skal kunne
gøre denne rettighed gældende direkte overfor den
dataansvarlige eller gennem den nationale tilsynsmyndighed.
Det følger endvidere af bestemmelsen, at afslag
på berigtigelse, sletning eller blokering skal meddeles
skriftligt og ledsages af klagevejledning.
Efter behandlingen af klagen informeres den registrerede om,
hvorvidt den dataansvarlige har handlet korrekt eller ej.
Medlemsstaterne kan også fastsætte, at den registrerede
blot skal underrettes af den kompetente nationale tilsynsmyndighed
om, at der er foretaget en undersøgelse.
Hvis den registrerede benægter rigtigheden af en
personoplysning, og det ikke kan konstateres, om oplysningen er
rigtig eller ej, kan der anføres en bemærkning ud for
oplysningen (»referenceangivelse«). Det er i den
forbindelse fastsat i rammeafgørelsens artikel 2, litra l,
at der ved begrebet »referenceangivelse« skal
forstås en markering af lagrede oplysninger, uden at det er
hensigten at begrænse den fremtidige behandling af disse
oplysninger.
3.5. Behandlingssikkerhed
3.5.1. Udkastet til
rammeafgørelse indeholder i artikel 21 og 22 bestemmelser om
sikkerhed i forbindelse med behandlingen af
personoplysninger.
3.5.2. Den almindelige regel
følger af artikel 21, som fastsætter, at personer med
adgang til at behandle personoplysninger, som falder inden for
rammeafgørelsens anvendelsesområde, kun må
behandle disse oplysninger i deres egenskab af ansatte i eller
efter instruks fra den kompetente myndighed.
Personer, der skal arbejde for en kompetent myndighed i en
medlemsstat, er bundet af alle de databeskyttelsesregler, der
gælder for den pågældende kompetente
myndighed.
3.5.3. Rammeafgørelsens
artikel 22 fastsætter nærmere og mere detaljerede krav
til sikkerheden i forbindelse med behandlingen af
personoplysninger.
Efter bestemmelsen forpligtes de kompetente myndigheder til at
iværksætte de fornødne tekniske og
organisatoriske foranstaltninger til at beskytte personoplysninger
mod hændelig eller ulovlig tilintetgørelse, mod
hændeligt tab, mod forringelse, ubeføjet udbredelse
eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter
fremsendelse i et net eller oplysninger, der stilles til
rådighed ved at give direkte elektronisk adgang, og mod
enhver anden form for ulovlig behandling, jf. herved nærmere
artikel 22, stk. 1.
Med henblik herpå opstilles der en række
specifikke sikkerhedskrav i bestemmelsen, jf. herved nærmere
artikel 22, stk. 2.
Efter artikel 22, stk. 3, fastsætter
medlemsstaterne, at der som databehandler kun må udpeges en
person, der kan garantere, at vedkommende kan træffe de
fornødne tekniske og organisatoriske foranstaltninger (som
er nævnt i artikel 22, stk. 1) og overholde de
instrukser (som er nævnt i artikel 21). Den kompetente
myndighed skal kontrollere, at databehandleren lever op til disse
krav.
Databehandleren må efter artikel 22, stk. 4, kun
behandle personoplysninger på grundlag af en retsakt eller en
skriftlig kontrakt.
3.6. Tilsyn, domstolsprøvelse,
erstatning og sanktioner
3.6.1. I henhold til artikel 25
skal alle medlemsstater have mindst en offentlig myndighed, der har
til opgave at yde rådgivning og påse overholdelsen af
de bestemmelser, medlemsstaten vedtager til gennemførelse af
rammeafgørelsen.
Denne myndighed udøver de funktioner, der
tillægges den, i fuld uafhængighed.
Tilsynsmyndigheden skal kunne iværksætte
efterforskninger og bl.a. have adgang til de oplysninger, der
gøres til genstand for en behandling, og kunne indsamle alle
oplysninger, der er nødvendige for at varetage dens
tilsynsopgaver. Tilsynsmyndigheden skal også kunne gribe
effektivt ind ved f.eks. at afgive udtalelser forud for
iværksættelsen af behandlinger, beordre oplysninger
slettet mv., midlertidigt eller definitivt forbyde en behandling,
udstede advarsler, påtale overtrædelser og indbringe
overtrædelser for retsinstanserne eller gøre
retsinstanserne opmærksom på overtrædelserne.
Afgørelser truffet af tilsynsmyndigheden, som går en
involveret part imod, skal kunne indbringes for en
retsinstans.
Om tilsynsmyndighedens virksomhed kan i øvrigt henvises
til bestemmelserne i artikel 25, stk. 3 og 4
3.6.2. Medlemsstaterne skal sikre,
at de(n) nationale tilsynsmyndighed(er) høres inden
behandlingen af oplysninger, der vil indgå i et nyt register,
der skal oprettes, når der behandles særlige kategorier
af oplysninger, jf. artikel 7, eller når formen for
behandling - især anvendelse af nye teknologier, mekanismer
eller procedurer - i andre henseender indebærer særlige
risici for den registreredes grundlæggende rettigheder og
frihedsrettigheder, herunder især dennes privatliv. Der
henvises herved til rammeafgørelsens artikel 23.
3.6.3. Efter
rammeafgørelsens artikel 20 skal den registrerede - med
forbehold af en eventuel administrativ klageadgang - have ret til
at indbringe krænkelser af de rettigheder, der garanteres
vedkommende i henhold til national lovgivning, for en
domstol.
3.6.4. Rammeafgørelsens
artikel 19 omhandler retten til erstatning. Efter bestemmelsen har
enhver, der har lidt skade som følge af en ulovlig handling
eller enhver anden handling, der er uforenelig med de nationale
bestemmelser, der vedtages til gennemførelse af
rammeafgørelsen, ret til erstatning for den forvoldte skade
fra den kompetente myndighed.
En medlemsstat, der har modtaget oplysninger fra en anden
medlemsstat, kan inden for rammerne af det ansvar, den kompetente
myndighed i henhold til den nationale lovgivning har over for den
skadelidte, ikke påberåbe sig, at de videregivne
oplysninger var urigtige. Hvis modtageren yder erstatning for en
skade, der er forårsaget af anvendelsen af urigtigt
videregivne oplysninger, refunderer den videregivende kompetente
myndighed modtageren den ydede skadeserstatning under hensyn til et
eventuelt ansvar hos modtageren.
Det er op til den enkelte medlemsstat at fastlægge,
hvordan dens erstatningsbestemmelser skal udformes, jf. betragtning
nr. 15.
3.6.5. Efter artikel 24
træffer medlemsstaterne de nødvendige foranstaltninger
til at sikre, at rammeafgørelsens bestemmelser
gennemføres fuldt ud, herunder bl.a. ved at fastsætte
sanktioner, der er effektive, står i et rimeligt forhold til
lovovertrædelsen, har afskrækkende virkning, og som
skal finde anvendelse i tilfælde af overtrædelse af de
bestemmelser, der vedtages til gennemførelse af
rammeafgørelsen.
Det er op til den enkelte medlemsstat at fastlægge,
hvilke sanktioner der skal finde anvendelse ved overtrædelse
af de nationale databeskyttelsesbestemmelser, jf. betragtning nr.
15.
3.7. Øvrige bestemmelser
mv.
3.7.1. Forholdet mellem
rammeafgørelsen og aftaler indgået med tredjelande
reguleres i artikel 27.
Heraf fremgår, at rammeafgørelsen ikke
berører forpligtelser, der påhviler medlemsstaterne
eller Den Europæiske Union i henhold til bilaterale og/eller
multilaterale aftaler indgået med tredjelande, som er
gældende ved rammeafgørelsens vedtagelse.
Når der i henhold til sådanne aftaler foretages
overførsel til et tredjeland af personoplysninger, der er
modtaget fra en anden medlemsstat, skal artikel 14, stk. 1,
litra c), og artikel 14, stk. 2, om indhentelse af samtykke
fra afgiverstaten dog respekteres.
3.7.2. Forholdet mellem
rammeafgørelsen og tidligere vedtagne EU-retsakter reguleres
i artikel 27b.
Heraf følger, at hvis der i EU-retsakter, som er
vedtaget før rammeafgørelsens ikrafttræden (som
er tyvendedagen efter offentliggørelsen i EU-Tidende), og
som regulerer udvekslingen af oplysninger mellem medlemsstater, er
vedtaget særlige bestemmelser om den modtagende medlemsstats
anvendelse af sådanne oplysninger, vil disse bestemmelser
gå forud for rammeafgørelsens regler herom.
Om den nærmere betydning heraf kan der henvises til
betragtning nr. 24a og 24b.
3.7.3. Efter
rammeafgørelsens artikel 28, stk. 1, skal
medlemsstaterne træffe de nødvendige foranstaltninger
for at efterkomme rammeafgørelsen senest to år fra
dens vedtagelse.
Om gennemførelsen og ikrafttrædelsen af
rammeafgørelsen henvises i øvrigt til
rammeafgørelsens artikel 28, stk. 2, og artikel 29.
Spørgsmålet om evaluering af rammeafgørelsen
(når der er gået tre år fra
gennemførelsesfristen) reguleres i rammeafgørelsens
artikel 27 a.
3.7.4. Ud over de enkelte artikler
indeholder præamblen til rammeafgørelsen på
sædvanlig vis en række betragtninger, som vil kunne
have betydning for fortolkningen og anvendelsen af
rammeafgørelsen. Præamblen indeholder ingen
selvstændige retligt forpligtende elementer.
3.7.5. Det skal bemærkes, at
udkastet til rammeafgørelse ledsages af et udkast til en
rådserklæring, hvorefter Rådet vil
undersøge, hvordan man i fremtiden i overensstemmelse med de
gældende retsgrundlag kan samle de opgaver, der
udføres af de eksisterende fælles
datatilsynsmyndigheder, som er oprettet særskilt for
Schengen-informationssystemet, Europol, Eurojust og
Toldinformationssystemet, under én datatilsynsmyndighed,
idet der tages hensyn til disse systemers og organers særlige
karakter.
4. De lovgivningsmæssige
konsekvenser af udkastet til rammeafgørelse
4.1. Indledende
bemærkninger
4.1.1. Den centrale danske lov
på området for persondatabeskyttelse er persondataloven
(lov nr. 429 af 31. maj 2000 som senest ændret ved lov nr.
519 af 6. juni 2007). Persondataloven, der gennemfører
persondatadirektivet - direktiv nr. 95/46 - i dansk ret, regulerer
ikke blot behandling af personoplysninger inden for
fællesskabsrettens og dermed direktivets område
(søjle 1), men finder generelt anvendelse på
behandling af personoplysninger, og herunder altså også
behandling af personoplysninger inden for det strafferetlige
område.
Der er i medfør af persondataloven udstedt en
række bekendtgørelser, hvoraf nogle omtales
nedenfor.
Også anden lovgivning indeholder regler, som har
betydning for behandling af personoplysninger inden for det
strafferetlige område. Der er således i retsplejeloven
fastsat regler om sigtede personers mv. adgang til materiale, som
er tilvejebragt af politiet i forbindelse med strafferetlig
forfølgning (retsplejelovens kapitel 66). I retsplejeloven
er der også fastsat almindelige regler om aktindsigt
(retsplejelovens kapitel 3 a). Herudover kan bl.a. nævnes
retsplejelovens særlige regler om berigtigelse, jf. lovens
§ 221.
4.1.2. Den regulering, som
fremgår af udkastet til rammeafgørelse, afspejles i
nogen grad allerede i dag i persondataloven (med tilhørende
bekendtgørelser).
Dette gælder navnlig med hensyn til bestemmelserne om rammeafgørelsens
anvendelsesområde og definitioner (artikel 1-2), om grundlæggende principper for
behandling af personoplysninger (især artikel 3), om fortrolighed og sikkerhed i forbindelse
med databehandling (artikel 21 og 22), om klageadgang, erstatningsansvar og
sanktioner (artikel 19-20 og 24) samt om tilsynsmyndighed (artikel 25).
Disse bestemmelser svarer således stort set til, hvad
der følger af persondataloven.
Omvendt indeholder persondataloven imidlertid ikke - på
samme måde som udkastet til rammeafgørelse -
særlige og detaljerede bestemmelser om udveksling af
personoplysninger med andre medlemsstater eller om yderligere
behandling, herunder videregivelse, af oplysninger, der er modtaget
fra eller stillet til rådighed af andre medlemsstaters
kompetente myndigheder. Også med hensyn til den registreredes
rettigheder må udkastet til rammeafgørelse antages at
gå videre i sin regulering end gældende dansk
lovgivning.
Hovedvægten i gennemgangen nedenfor lægges derfor
på rammeafgørelsens behandlingsregler og regler om den
registreredes rettigheder, og det vurderes i den forbindelse, om de
pågældende regler (og rammeafgørelsens
bestemmelser i øvrigt) nødvendiggør
lovændringer.
Derimod tages der på nuværende tidspunkt ikke
stilling til den nærmere gennemførelse af
rammeafgørelsen i dansk ret. Justitsministeriet vil behandle
dette spørgsmål i forbindelse med fremsættelse
af lovforslag på området. Justitsministeriet vil i
samme forbindelse tage stilling til, om der er behov for at
fastsætte yderligere administrative bestemmelser i
forbindelse med gennemførelse af rammeafgørelsen i
dansk ret.
4.2. Anvendelsesområde og
definitioner
4.2.1. Persondataloven
gælder - ligesom udkastet til rammeafgørelse - for
behandling af personoplysninger, der helt eller delvis foretages
ved hjælp af elektronisk databehandling, og for
ikke-elektronisk behandling af personoplysninger, der er eller vil
blive indeholdt i et register, jf. lovens § 1.
Inden for dette anvendelsesområde gælder
persondataloven for al form for behandling af personoplysninger,
der foretages af danske myndigheder. Persondataloven omfatter
således bl.a. også indsamling, opbevaring og udveksling
mv. af personoplysninger, som foretages af politiet,
anklagemyndigheden, kriminalforsorgen og domstolene i forbindelse
med samarbejde med myndigheder i andre EU-medlemsstater inden for
det strafferetlige område.
Som nævnt ovenfor under pkt. 3.1.1. finder
rammeafgørelsen anvendelse på den
grænseoverskridende informationsudveksling i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager.
Persondatalovens anvendelsesområde er således
bredere end rammeafgørelsens anvendelsesområde, og
rammeafgørelsen nødvendiggør derfor efter
Justitsministeriets opfattelse ikke, at der foretages
ændringer i den nuværende afgrænsning i lovens
§ 1 af persondatalovens anvendelsesområde.
Det forhold, at visse nærmere angivne bestemmelser i
persondataloven (om registrerede personers rettigheder) ikke finder
anvendelse på behandlinger, der foretages af domstolene,
politi og anklagemyndighed inden for det strafferetlige
område, jf. herved lovens § 2, stk. 4,
nødvendiggør efter Justitsministeriets opfattelse
heller ikke ændringer i persondatalovens § 1. Om
betydningen af reglen i persondatalovens § 2,
stk. 4, henvises i øvrigt til det, som er anført
nedenfor under pkt. 4.5.
4.2.2. Uden for persondatalovens
anvendelsesområde falder bl.a. behandling af
personoplysninger, der udføres for politiets eller
forsvarets efterretningstjenester, jf. lovens § 2,
stk. 11.
Denne ordning vil kunne opretholdes ved en
gennemførelse af rammeafgørelsen i dansk ret, idet
rammeafgørelsen som nævnt ovenfor under pkt. 3.1.1.
ikke berører væsentlige nationale sikkerhedsinteresser
og specifikke efterretningsaktiviteter vedrørende national
sikkerhed, jf. rammeafgørelsens artikel 1,
stk. 4.
4.2.3. Persondataloven indeholder
i § 3 definitioner af en række centrale
databeskyttelsesmæssige begreber, såsom
»personoplysninger«, »behandling«,
»register«, »dataansvarlig« og
»databehandler«.
Som nævnt ovenfor under pkt. 3.1.2. svarer
rammeafgørelsens definitioner i vidt omfang til de
definitioner, der anvendes i persondataloven. Der indføres
dog med rammeafgørelsen enkelte nye definitioner, som ikke
er afspejlet i lovteksten til persondataloven. En indsættelse
af de pågældende definitioner i persondataloven vil
imidlertid efter Justitsministeriets opfattelse ikke være
nødvendig til gennemførelse af rammeafgørelsen
i dansk ret, idet definitionerne i fornødent omfang vil
skulle lægges til grund af danske myndigheder mv. i
forbindelse med udøvelse af aktiviteter inden for
rammeafgørelsens anvendelsesområde. Det bemærkes
i den forbindelse, at rammeafgørelsens definition af
begrebet »blokering« svarer til, hvad der i dag i
praksis forstås ved det pågældende udtryk (som
indgår i persondatalovens § 37 og § 59,
stk. 1).
4.3. Behandlingsregler
4.3.1. Persondataloven indeholder
i kapitel 4 (§§ 5-14) en række materielle
regler om behandling af personoplysninger.
De pågældende bestemmelser omfatter bl.a. den
behandling af personoplysninger, som foretages af politi,
anklagemyndighed, kriminalforsorg samt domstole inden for det
strafferetlige område. Sådan behandling af
personoplysninger vil således bl.a. skulle leve op til de
grundlæggende principper, som følger af
persondatalovens § 5.
Det betyder bl.a., at de nævnte myndigheders indsamling
af oplysninger skal ske til udtrykkeligt angivne og saglige
formål, og at senere behandling ikke må være
uforenelig med disse formål. Senere behandling af
oplysninger, der alene sker i historisk, statistisk eller
videnskabeligt øjemed, anses ikke for uforenelig med de
formål, hvortil oplysningerne er indsamlet (§ 5,
stk. 2).
Personoplysninger, som behandles af de pågældende
myndigheder, skal være relevante og tilstrækkelige og
ikke omfatte mere, end hvad der kræves til opfyldelse af de
formål, hvortil oplysningerne indsamles, og de formål,
hvortil oplysningerne senere behandles (§ 5,
stk. 3).
Behandling af oplysninger skal tilrettelægges
således, at der foretages fornøden ajourføring
af oplysningerne. Der skal endvidere foretages den fornødne
kontrol for at sikre, at der ikke behandles urigtige eller
vildledende oplysninger. Oplysninger, der viser sig urigtige eller
vildledende, skal snarest muligt slettes eller berigtiges
(§ 5, stk. 4).
Indsamlede oplysninger må ikke opbevares på en
måde, der giver mulighed for at identificere den registrerede
i et længere tidsrum end det, der er nødvendigt af
hensyn til de formål, hvortil oplysningerne behandles
(§ 5, stk. 5).
De nævnte principper i persondatalovens § 5
skal ses i sammenhæng med bl.a. lovens §§ 6-8,
hvorefter der - ud over på baggrund af et samtykke fra den
registrerede - kan ske behandling af personoplysninger, herunder
indsamling, registrering og videregivelse mv., hvis dette er
nødvendigt til en række nærmere angivne
formål, herunder bl.a. af hensyn til en offentlig myndigheds
varetagelse af sine opgaver på det strafferetlige
område, jf. bl.a. § 7, stk. 6. Der er i
persondatalovens § 8, stk. 2, fastsat særlige
videregivelsesregler for den offentlige forvaltning
vedrørende bl.a. oplysninger om strafbare forhold.
Oplysninger, der er omfattet af persondataloven, kan
overføres til opbevaring i arkiv efter reglerne i
arkivlovgivningen, jf. persondatalovens § 14.
De grundlæggende behandlingsregler i udkastet til
rammeafgørelse artikel 3, som er beskrevet ovenfor i pkt.
3.2.2., må efter Justitsministeriets opfattelse antages
indholdsmæssigt at svare til, hvad der følger af
behandlingsreglerne i persondatalovens kapitel 4, herunder navnlig
bestemmelserne i § 5 og § 14. Udkastet til
rammeafgørelse vurderes således ikke at
nødvendiggøre lovændringer på dette
punkt.
4.3.2. Der er i persondatalovens
§ 7 fastsat særlige regler om behandling af
oplysninger om racemæssig eller etnisk baggrund, politisk,
religiøs eller filosofisk overbevisning,
fagforeningsmæssige tilhørsforhold og oplysninger om
seksuelle forhold.
Efter bestemmelsen må der behandles personoplysninger,
hvis den registrerede samtykker hertil, eller hvis behandlingen er
nødvendig til en række nærmere angivne
formål, herunder bl.a. af hensyn til en offentlig myndigheds
varetagelse af sine opgaver på det strafferetlige
område, jf. bl.a. § 7, stk. 6.
Som nævnt ovenfor i pkt. 3.2.3. følger det af
rammeafgørelsens artikel 7, at de nævnte typer af
følsomme personoplysninger kun må behandles, når
det er strengt nødvendigt, og når der er fastsat
passende sikkerhedsgarantier i den nationale lovgivning. Udkastet
til rammeafgørelse fastsætter således (i
princippet) strengere betingelser for, hvornår danske
myndigheder på området kan behandle sådanne
personoplysninger end, hvad der i dag følger af
persondatalovens § 7. Det skal dog bemærkes, at det
i praksis formentlig ikke vil være muligt at angive nogen
væsentlig forskel på kriterierne
»nødvendigt« og »strengt
nødvendigt«. Det gælder således bl.a. i
relation til politiets mv. adgang til at behandle de nævnte
typer af følsomme personoplysninger med henblik på
kriminalitetsbekæmpelse, f.eks. i forbindelse med opklaring
af et politisk motiveret mord.
Danske myndigheder, som foretager grænseoverskridende
informationsudveksling inden for rammeafgørelsens
anvendelsesområde, vil være forpligtet til at overholde
de betingelser, der følger af artikel 7 i udkastet til
rammeafgørelse. Efter Justitsministeriets umiddelbare
opfattelse nødvendiggør artikel 7 derfor ikke
ændringer af persondatalovens § 7. En endelig
stillingtagen til dette spørgsmål vil dog ske i
forbindelse med gennemførelsen af rammeafgørelsen i
dansk ret.
4.3.3. Heller ikke udkastet til
rammeafgørelse artikel 8 (om automatiserede
afgørelser) kan efter Justitsministeriets opfattelse antages
at nødvendiggøre lovændringer. Der henvises
herved til pkt. 3.2.4. ovenfor, hvor bestemmelsen er nærmere
omtalt. Hvis der i Danmark ønskes indført
automatiserede afgørelser på det strafferetlige
område vil de krav, som opstilles i artikel 8 i den
forbindelse skulle iagttages.
4.3.4. Der er i udkastet til
rammeafgørelse artikel 12-15 fastsat en række
detaljerede regler om, i hvilket omfang en medlemsstat må
viderebehandle personoplysninger, der modtages fra eller stilles
til rådighed af en anden medlemsstat, herunder om
medlemsstaten kan videregive sådanne oplysninger til
henholdsvis myndigheder i tredjelande eller internationale
organisationer og private. Om bestemmelsernes indhold henvises
nærmere til pkt. 3.2.5.-3.2.9. ovenfor.
Persondataloven indeholder ikke på samme måde som
udkastet til rammeafgørelse særlige regler om adgangen
for danske myndigheder (dvs. politi, anklagemyndighed,
kriminalforsorg og domstole) til at viderebehandle
personoplysninger, som modtages fra eller stilles til
rådighed af myndigheder i andre medlemsstater. Om
sådanne personoplysninger kan viderebehandles må
således - medmindre der gælder særlige regler
på området - afgøres ud fra behandlingsreglerne
i persondatalovens kapitel 4, herunder i praksis navnlig
bestemmelserne i § 5 og §§ 6-8.
Der er dog i persondatalovens § 27 fastsat
særlige regler om overførsel af oplysninger til
tredjelande. Det fremgår af stk. 1, at der kun må
overføres oplysninger til et tredjeland, hvis dette land
sikrer et tilstrækkeligt beskyttelsesniveau. Derudover kan
der overføres oplysninger til et tredjeland, hvis en af de i
stk. 3, nr. 1-8, nævnte betingelser er opfyldt.
Herudover skal persondatalovens almindelige behandlingsregler,
herunder i §§ 5-8, være opfyldt ved
overførsel af oplysninger til tredjelande.
Persondatalovens § 27 om overførsel af
personoplysninger til tredjelande svarer i et vist omfang til, hvad
der følger af rammeafgørelsens artikel 14. Den
pågældende bestemmelse indeholder imidlertid (i
modsætning til rammeafgørelsens artikel 14) bl.a. ikke
et krav om, at der som udgangspunkt skal foreligge samtykke fra den
medlemsstat, der har afgivet oplysningen. Rammeafgørelsens
artikel 14 indeholder således skærpede krav for
overførsel af oplysninger til tredjelande (og internationale
organisationer) i forhold til de krav, der følger af
persondataloven.
Efter Justitsministeriets opfattelse
nødvendiggør bestemmelserne i udkastet til
rammeafgørelse artikel 12-15 imidlertid ikke
lovændringer. De pågældende bestemmelser
fastsætter som nævnt nogle grænser for, hvordan
danske myndigheder kan anvende personoplysninger, som myndighederne
har modtaget i forbindelse med det politimæssige og
strafferetlige samarbejde i EU. Dette gælder, hvad enten der
er tale om personoplysninger, der er »modtaget« eller
»stillet til rådighed«. Danske myndigheder
på området vil derfor være forpligtet til at
overholde de betingelser, der følger af artikel 12-15. Det
betyder bl.a., at der ikke vil kunne ske viderebehandling (ud over,
hvad der er tilladt efter artikel 12-15 i rammeafgørelsen)
på grundlag af forvaltningslovens § 31, hvorefter
en forvaltningsmyndighed, i det omfang den er berettiget til at
videregive en oplysning, også er forpligtet til at
gøre det på begæring af en anden
forvaltningsmyndighed, hvis oplysningen er af betydning for
myndighedens virksomhed eller en afgørelse, som myndigheden
skal træffe.
Noget tilsvarende er i øvrigt bl.a. lagt til grund i
forbindelse med gennemførelsen af
EU-retshjælpskonventionen (af 29. maj 2000) i dansk ret. Der
henvises herved til forarbejderne til lov nr. 258 af 8. maj 2002
(som er gengivet i Folketingstidende 2001-2002, 2. samling,
Tillæg A, side 3377).
4.3.5. For så vidt
angår forholdet mellem på den ene side
rammeafgørelsens bestemmelser om viderebehandling af
personoplysninger og på den anden side de danske regler om
aktindsigt mv. bemærkes følgende:
Som nævnt ovenfor i pkt. 3.2.7. indebærer udkastet
til rammeafgørelse artikel 14a, at personoplysninger, som
modtages fra eller stilles til rådighed af en anden
medlemsstat, kun i begrænset omfang (af de kompetente
myndigheder i modtagerstaten) kan videregives til private.
Imidlertid fremgår det af den forklarende betragtning
nr. 10a i rammeafgørelsens præambel, at artikel 14a
ikke berører videregivelse af oplysninger til private
(f.eks. forsvarsadvokater og ofre) som led i straffesager.
Efter Justitsministeriets opfattelse kan artikel 14a i
udkastet til rammeafgørelse derfor ikke antages at
nødvendiggøre ændringer i reglerne i
retsplejelovens kapitel 66 (§§ 729 a-729 d) om
sigtedes adgang til materiale, som er tilvejebragt af politiet i
forbindelse med strafferetlig forfølgning.
Rammeafgørelsens artikel 14a kan efter
Justitsministeriets opfattelse heller ikke antages at
nødvendiggøre ændringer i den ordning, som
følger af retsplejelovens kapitel 3 a
(§§ 41-41 g) om aktindsigt i bl.a. domme og
kendelser samt andre dokumenter, der vedrører straffesager.
Af de pågældende bestemmelser følger bl.a., at
retten til aktindsigt kan begrænses, hvis det er
nødvendigt af hensyn til forholdet til fremmede magter, jf.
§ 41 b, stk. 3, nr. 1, og § 41 d,
stk. 3, nr. 2. Der er endvidere i medfør af
retsplejelovens § 41 e, stk. 4, 1. pkt., mulighed
for at anonymisere et dokument, der indeholder oplysninger om
enkeltpersoners rent private forhold, således at den
pågældendes identitet ikke fremgår.
Justitsministeriet lægger herved også vægt
på, at det af den forklarende betragtning nr. 15a i
præamblen fremgår, at rammeafgørelsen giver
mulighed for, at der ved gennemførelsen af de principper,
der er fastsat i den, kan tages hensyn til princippet om aktindsigt
i offentlige dokumenter.
Efter offentlighedslovens § 2, stk. 1, 1. pkt.,
gælder loven ikke for sager inden for
strafferetsplejen.
På den anførte baggrund er det sammenfattende
Justitsministeriets opfattelse, at udkastet til
rammeafgørelse artikel 14a ikke nødvendiggør
lovændringer på det nævnte punkt.
4.4 Datakvalitet mv.
Der er i persondatalovens § 5 (og § 14)
fastsat en række regler om bl.a. ajourføring,
rettelse, sletning og arkivering. De pågældende
bestemmelser er beskrevet ovenfor i pkt. 4.3.1., hvortil der
henvises.
Herudover indeholder persondataloven i kapitel 11
(§§ 41-42) regler om behandlingssikkerhed. Der er i
medfør af § 41, stk. 5, udstedt
bekendtgørelser, som bl.a. indeholder regler om registrering
(logning) af anvendelser af personoplysninger.
Endelig kan det nævnes, at persondataloven i kapitel 12
(§§ 43-47) og kapitel 14 (§ 52) indeholder
regler om anmeldelse af behandlinger, der foretages for henholdsvis
den offentlige forvaltning og for domstolene. Af bestemmelserne
følger bl.a., at der i en anmeldelse skal oplyses om
tidspunktet for sletning af oplysninger. For så vidt
angår de behandlinger, som er undtaget fra
anmeldelsespligten, er der i de udstedte bekendtgørelser
på området fastsat regler om bl.a. opbevaring og
sletning af oplysninger samt kontrol med behandling af
oplysninger.
Som det er fremgået ovenfor i pkt. 3.3., indeholder
udkastet til rammeafgørelse en række bestemmelser (i
artikel 4, 6 og 9-11), der har til formål at sikre
datakvaliteten af personoplysninger, der udveksles mellem
medlemsstaterne, og som har til formål at sikre, at
oplysninger ikke opbevares længere tid end
nødvendigt.
Persondatalovens regulering dækker i vidt omfang de krav
til datakvalitet mv., som følger af de
pågældende bestemmelser i rammeafgørelsen. I den
forbindelse bemærkes bl.a., at rammeafgørelsens
artikel 4 ikke rejser spørgsmål i forhold til den
særlige berigtigelsesregel, som fremgår af
retsplejelovens § 221, jf. herved rammeafgørelsens
artikel 4, stk. 4.
Visse af rammeafgørelsens bestemmelser om datakvalitet
mv. afspejles dog ikke direkte i persondataloven (med
tilhørende bekendtgørelser). Det drejer sig bl.a. om
rammeafgørelsens artikel 9, som fastsætter nogle krav
til verifikation af kvaliteten af de oplysninger, der videregives
eller stilles til rådighed, og krav om, at modtageren af
oplysninger straks underrettes, hvis det konstateres, at der er
videregivet urigtige oplysninger, eller at oplysningerne er
ulovligt videregivet.
Danske myndigheder vil være forpligtet til at overholde
de krav og betingelser, som følger af de
pågældende bestemmelser. Efter Justitsministeriets
umiddelbare opfattelse nødvendiggør de omhandlede
bestemmelser i udkastet til rammeafgørelse derfor ikke
lovændringer. En endelig stillingtagen til dette
spørgsmål vil dog ske i forbindelse med
gennemførelsen af rammeafgørelsen i dansk ret.
4.5. Den registreredes
rettigheder
4.5.1. Som nævnt ovenfor i
pkt. 4.2. finder persondataloven generelt anvendelse på
behandling af personoplysninger, herunder også behandlinger
der foretages inden for det strafferetlige område af politi,
anklagemyndighed, kriminalforsorg samt domstole.
Det følger dog af persondatalovens § 2,
stk. 4, at bestemmelserne i lovens kapitel 8 (om
oplysningspligt over for den registrerede) og
§§ 35-37 og § 39 (om bl.a. den
registreredes ret til berigtigelse, sletning eller blokering af
oplysninger, der er urigtige mv., samt ret til underretning af
tredjemand, som har modtaget oplysninger, der er berigtiget mv.)
ikke finder anvendelse på behandlinger, der foretages for
henholdsvis domstolene og politi og anklagemyndighed inden for det
strafferetlige område. Herudover fremgår det af
persondatalovens § 2, stk. 4, at bestemmelserne i
lovens kapitel 9 (om den registreredes indsigtsret) heller ikke
finder anvendelse på behandling af personoplysninger, der
foretages for domstolene inden for det strafferetlige
område.
4.5.2. Persondataloven indeholder
i kapitel 8 (§§ 28-30) bestemmelser om den
dataansvarlige myndigheds oplysningspligt over for den
registrerede. De pågældende regler gælder som
nævnt ovenfor ikke for behandling af personoplysninger, som
foretages for politi, anklagemyndighed og domstole inden for det
strafferetlige område.
Rammeafgørelsens artikel 16 forpligter medlemsstaterne
til at sikre, at den registrerede er underrettet om myndighedernes
indsamling og behandling af personoplysninger i henhold til den
nationale lovgivning. Artikel 16 overlader det således til
medlemsstaterne at fastsætte de nærmere bestemmelser
for den registreredes ret til at blive informeret og undtagelserne
herfra. Underretning kan bl.a. ske generelt, f.eks. gennem
lovgivning eller ved offentliggørelse af en oversigt over
behandlingerne, jf. nærmere ovenfor under pkt. 3.4.2.
Efter Justitsministeriets opfattelse giver den nærmere
rækkevidde af artikel 16 anledning til tvivl. Efter
bestemmelsen overlades det således til medlemsstaterne at
fastsætte de nærmere bestemmelser for den registreredes
ret til at blive informeret og undtagelserne herfra, og artikel 16
overlader således medlemsstaterne et meget betydeligt
råderum med hensyn til fastlæggelsen af den
nærmere ordning for underretning. Imidlertid synes det at
være forudsat med artikel 16 (sammenholdt med de forklarende
betragtninger nr. 13 og 13 a), at der - inden for
rammeafgørelsens anvendelsesområde - i et vist omfang
skal gælde en underretningspligt, hvis nærmere
udformning det dog som nævnt er op til medlemsstaterne at
fastlægge.
Der kan i den forbindelse peges på, at en anmeldelse til
tilsynsmyndighederne i dag efter persondataloven bl.a. skal
indeholde oplysninger om behandlingens betegnelse og formål
mv., jf. herved § 43, stk. 2 (for den offentlige
forvaltning) og § 52 (for domstolene).
Tilsynsmyndighederne fører efter persondatalovens
§ 54 en fortegnelse over anmeldte behandlinger.
Justitsministeriet vil i forbindelse med gennemførelsen
af rammeafgørelsen i dansk ret vurdere, om der - i lyset af
rammeafgørelsens artikel 16 - bør ske en udbygning af
de nuværende regler om offentliggørelse af
behandlinger af personoplysninger, eller om der eventuelt
bør indføres bestemmelser om oplysningspligt over for
den enkelte registrerede person inden for det strafferetlige
område.
4.5.3. Der er i persondatalovens
kapitel 9 (§§ 31-34) fastsat regler om den
registreredes indsigtsret.
Efter § 31, stk. 1, har en registreret person -
efter begæring - ret til indsigt i en række oplysninger
om vedkommende selv (egenacces). Dette gælder dog bl.a. ikke,
hvis den registreredes interesse i at få kendskab til
oplysningerne findes at burde vige for afgørende hensyn til
private eller offentlige interesser, herunder bl.a. statens
sikkerhed, den offentlige sikkerhed eller forebyggelse,
efterforskning, afsløring og retsforfølgning i
straffesager, eller hvis der i øvrigt er grundlag for at
gøre undtagelser fra indsigtsretten efter reglerne i
offentlighedslovens § 2 samt §§ 7-11 og
§ 14. Der henvises til persondatalovens § 32,
stk. 1 og 2.
Herudover følger det af persondatalovens
§ 32, stk. 5, at justitsministeren under visse
betingelser kan træffe bestemmelse om, at der generelt
gøres undtagelse fra retten til indsigt i oplysninger, der
behandles af offentlige myndigheder på det strafferetlige
område, for så vidt bestemmelsen i § 32,
stk. 1, jf. § 30, må antages at
medføre, at begæringer om ret til indsigt i
almindelighed må afslås. Med hjemmel i denne
bestemmelse er der fastsat nærmere regler om egenacces i
bekendtgørelse nr. 218 af 27. marts 2001 som senest
ændret ved bekendtgørelse nr. 1030 af 13. oktober 2006
om behandling af personoplysninger i Det Centrale Kriminalregister.
Bekendtgørelsen indeholder i kapitel 3
(§§ 11-14) regler om registrerede personers adgang
til oplysninger om sig selv.
Reglerne i persondatalovens kapitel 9 om indsigtsret finder
som tidligere nævnt ikke anvendelse på behandlinger,
der foretages for domstolene inden for det strafferetlige
område, jf. lovens § 2, stk. 4, 1. pkt. Her
gælder reglerne om aktindsigt i domme og kendelser samt andre
dokumenter, der vedrører straffesager (i retsplejelovens
§§ 41-41g).
Der er - som tidligere nævnt - endvidere i
retsplejelovens §§ 729 a-729 d fastsat regler om
sigtedes adgang til materiale, som er tilvejebragt af politiet i
forbindelse med strafferetlig forfølgning.
Som nævnt ovenfor i pkt. 3.4.3. fastsætter
rammeafgørelsens artikel 17, at en registreret person har
ret til at modtage nærmere angivne oplysninger fra den
dataansvarlige eller - alternativt - en bekræftelse fra den
nationale tilsynsmyndighed på, at der er foretaget alle
fornødne kontroller. Indsigtsretten kan begrænses i
den nationale lovgivning, hvis en sådan begrænsning
under hensyn til den pågældende persons legitime
interesser er en nødvendig og proportionel foranstaltning af
en række nærmere angivne grunde.
Efter Justitsministeriets opfattelse giver det anledning til
tvivl, om den indsigtsret, som registrerede personer skal have
efter rammeafgørelsens artikel 17, kan anses for
dækket af de gældende regler på området.
Der synes herved bl.a. at kunne peges på, at de regler i
retsplejeloven, som regulerer domstolenes forhold, ikke tager sigte
på registrerede personers adgang til oplysninger af den i
artikel 17 omhandlede karakter, men mere bredt vedrører
spørgsmålet om aktindsigt i domme og kendelser samt
dokumenter udarbejdet af domstolene som led i behandlingen af en
straffesag (dvs. uafhængigt af, om der findes oplysninger i
dokumenterne om den begærende selv). Heroverfor står,
at domstolene i praksis ikke vil være involveret i
informationsudveksling med andre medlemsstaters myndigheder inden
for det strafferetlige område, idet dette varetages af politi
og anklagemyndighed.
Justitsministeriet vil i forbindelse med gennemførelsen
af rammeafgørelsen i dansk ret nærmere vurdere, i
hvilket omfang artikel 17 nødvendiggør
lovændringer, herunder bl.a. om der f.eks. bør
indføres regler om egenacces i behandlinger af
personoplysninger, der foretages af domstolene inden for det
strafferetlige område, eller om der f.eks. bør
indføres en indirekte adgang til indsigt i sådanne
oplysninger (dvs. at den nationale tilsynsmyndighed - og ikke den
registrerede selv - har adgang til oplysningerne og efter en
gennemgang kan bekræfte over for den registrerede, at alle
nødvendige kontroller er foretaget).
4.5.4. Som nævnt ovenfor i
pkt. 4.5.1. finder bestemmelserne i bl.a. persondatalovens
§ 37 om den registreredes ret til berigtigelse, sletning
eller blokering af oplysninger, der er urigtige mv., samt ret til
underretning af tredjemand, som har modtaget oplysninger, der er
berigtiget mv., ikke anvendelse på behandlinger, der
foretages for henholdsvis domstolene og politi og anklagemyndighed
inden for det strafferetlige område, jf. herved
persondatalovens § 2, stk. 4.
Efter rammeafgørelsens artikel 18 har den registrerede
ret til at forvente, at den dataansvarlige myndighed overholder
sine forpligtelser i henhold til rammeafgørelsens
bestemmelser om berigtigelse, sletning og blokering (eller at der
eventuelt sker »referenceangivelse«). Den registrerede
skal kunne gøre denne rettighed gældende direkte over
for den dataansvarlige eller gennem den nationale tilsynsmyndighed.
Der henvises nærmere til pkt. 3.4. ovenfor.
Efter Justitsministeriets opfattelse må bestemmelsen i
artikel 18 mest nærliggende forstås således, at
den går videre end de forpligtelser, som umiddelbart
påhviler dataansvarlige myndigheder efter
rammeafgørelsens artikel 4, 9 og 10. Bestemmelsen må
således formentlig antages at skulle forstås
således, at den indebærer, at registrerede personer
skal have (en selvstændig) ret til at kræve
berigtigelse mv. inden for de rammer, som i øvrigt er
angivet i artikel 18. Efter Justitsministeriets opfattelse må
gennemførelse af rammeafgørelsens artikel 18 i dansk
ret derfor antages at nødvendiggøre
lovændringer.
4.6. Behandlingssikkerhed
Persondataloven indeholder i kapitel 11
(§§ 41-42) regler om behandlingssikkerhed. Reglerne
finder også anvendelse inden for det strafferetlige
område.
Det fremgår af persondatalovens § 41,
stk. 1, at personer, virksomheder mv., som udfører
arbejde under den dataansvarlige eller databehandleren, og som
får adgang til oplysninger, som udgangspunkt kun må
behandle disse efter instruks fra den dataansvarlige.
Lovens § 41, stk. 3, indeholder de overordnede
krav til den dataansvarliges behandlingssikkerhed. Ifølge
bestemmelsen skal den dataansvarlige træffe de
fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger mod, at oplysninger hændeligt
eller ulovligt tilintetgøres, fortabes eller forringes samt
mod, at de kommer til uvedkommendes kendskab, misbruges eller i
øvrigt behandles i strid med loven. Tilsvarende gælder
for databehandlere.
I tilknytning til reglerne i lovens § 41,
stk. 3, har Justitsministeriet udstedt to
bekendtgørelser om sikkerhedsforanstaltninger til
beskyttelse af personoplysninger, som behandles for henholdsvis den
offentlige forvaltning og domstolene. Bekendtgørelserne
indeholder detaljerede regler om de sikkerhedsforanstaltninger, den
dataansvarlige skal træffe i forbindelse med behandling af
personoplysninger, som foretages helt eller delvis ved hjælp
af elektronisk databehandling.
Det følger af persondatalovens § 42,
stk. 1, at når en dataansvarlig overlader en behandling
af oplysninger til en databehandler, skal den dataansvarlige sikre
sig, at databehandleren kan træffe de i § 41,
stk. 3-5, nævnte tekniske og organisatoriske
sikkerhedsforanstaltninger, og påse, at dette sker.
Gennemførelse af en behandling ved en databehandler skal ske
i henhold til en skriftlig aftale mellem parterne, jf. lovens
§ 42, stk. 2.
Rammeafgørelsens bestemmelser om behandlingssikkerhed i
artikel 21 og 22 svarer i vidt omfang til reglerne i
persondatalovens kapitel 11 med tilhørende
bekendtgørelser. Efter Justitsministeriets opfattelse kan
bestemmelserne ikke antages at nødvendiggøre
lovændringer. Der vil dog muligvis være behov for visse
ændringer af de administrativt fastsatte regler om
behandlingssikkerhed med henblik på at gennemføre
rammeafgørelsen i dansk ret.
4.7. Tilsyn, domstolsprøvelse,
erstatning og sanktioner
4.7.1. I persondatalovens kapitel
16 (§§ 55-66) er der fastsat bestemmelser om
Datatilsynets organisation og virksomhed. Tilsynet med domstolene
føres dog af Domstolsstyrelsen og retterne, jf. reglerne i
kapitel 17 (§§ 67 og 68).
En gennemførelse af rammeafgørelsens regler om
tilsyn, jf. herved artikel 25, som er beskrevet ovenfor i pkt.
3.6.1., kan efter Justitsministeriets opfattelse ikke antages at
nødvendiggøre ændringer i de regler, som
følger af persondatalovens kapitel 16 og 17.
4.7.2. Også kravene i
rammeafgørelsens artikel 23 om, at den nationale
tilsynsmyndighed høres inden behandlingen af visse former
for personoplysninger, må efter Justitsministeriets
opfattelse antages at være opfyldt ved den gældende
anmeldelsesordning for den offentlige forvaltning (i
persondatalovens kapitel 12) og for domstolene (i persondatalovens
kapitel 14).
4.7.3. Som nævnt ovenfor i
pkt. 3.6.3. skal der efter rammeafgørelsens artikel 20
være adgang for den registrerede til at indbringe
krænkelser af de rettigheder, der garanteres vedkommende i
henhold til national lovgivning, for en domstol.
Der findes ikke udtrykkelige regler herom i persondataloven,
idet adgangen til domstolsprøvelse allerede er sikret i
dansk ret, jf. herved grundlovens § 63, stk. 1,
hvorefter domstolene er berettigede til at påkende ethvert
spørgsmål om øvrighedsmyndighedens
grænser. Der vil således bl.a. være mulighed for
domstolsprøvelse af sager afgjort af Datatilsynet på
baggrund af f.eks. en klage fra den registrerede, og
rammeafgørelsens artikel 20 nødvendiggør
derfor ikke lovændringer.
4.7.4. Persondataloven indeholder
i § 69 bestemmelser om erstatning. Det fremgår
således, at den dataansvarlige skal erstatte skade, der er
forvoldt ved behandling i strid med loven, medmindre det
godtgøres, at skaden ikke kunne have været
afværget ved den agtpågivenhed og omhu, der må
kræves i forbindelse med behandling af oplysninger.
Gennemførelse af rammeafgørelsens artikel 19,
stk. 1 - hvorefter enhver, der har lidt skade som følge
af en ulovlig handling eller enhver anden handling, der er
uforenelig med de nationale bestemmelser, der vedtages til
gennemførelse af rammeafgørelsen, har ret til
erstatning fra den kompetente myndighed -
nødvendiggør derfor efter Justitsministeriets
opfattelse ikke lovændringer. Det bør derimod efter
Justitsministeriets opfattelse i forbindelse med den senere
gennemførelse af rammeafgørelsen i dansk ret
overvejes nærmere, om der er behov for at fastsætte
særlige lovbestemmelser, der sikrer mulighed for, at der kan
ydes erstatning/refusion i alle tilfælde omfattet af
rammeafgørelsens artikel 19, stk. 2.
4.7.5. Som nævnt i pkt.
3.6.5. forpligter rammeafgørelsens artikel 24
medlemsstaterne til at fastsætte sanktioner, som skal finde
anvendelse i tilfælde af overtrædelse af de
bestemmelser, der vedtages til gennemførelse af
rammeafgørelsen.
Persondatalovens § 70, stk. 2, indeholder
bestemmelser om strafansvar i forbindelse med behandling af
personoplysninger, der udføres for offentlige myndigheder.
Hertil kommer, at der efter omstændighederne vil kunne
pålægges strafansvar i medfør af straffelovens
kapitel 16 om forbrydelser i offentlig tjeneste eller hverv mv.,
ligesom der også er mulighed for at pålægge
offentligt ansatte et disciplinært ansvar.
Det må efter Justitsministeriets opfattelse antages, at
den danske lovgivning allerede lever op til bestemmelsen i
rammeafgørelsens artikel 24 om sanktioner. Det vurderes
derfor ikke at være nødvendigt at fastsætte
yderligere straf- og disciplinærretlige foranstaltninger end
dem, der allerede gælder til sikring af, at lovgivningen
overholdes fuldt ud.
4.8. Øvrige bestemmelser
mv.
Udkastet til rammeafgørelse, herunder bestemmelserne om
bl.a. forholdet mellem rammeafgørelsen og aftaler
indgået med tredjelande og forholdet mellem
rammeafgørelsen og tidligere vedtagne EU-retsakter, som er
beskrevet ovenfor under pkt. 3.7., rejser efter Justitsministeriets
opfattelse ikke i øvrigt spørgsmål om
lovændringer.
5. Økonomiske konsekvenser
Udkastet til rammeafgørelse vurderes efter
omstændighederne at kunne medføre økonomiske
konsekvenser for staten for så vidt angår eventuelle
tekniske løsninger, men det er ikke muligt på
nuværende tidspunkt nærmere at anslå omfanget
heraf.
Bilag 1
RÅDETS RAMMEAFGØRELSEaf ...om
beskyttelse af personoplysninger i forbindelse med
politisamarbejdeog retligt samarbejde i kriminalsager
RÅDET FOR DEN EUROPÆISKE UNION HAR -
under henvisning til traktaten om Den Europæiske Union,
særlig artikel 30, artikel 31 og artikel 34, stk. 2, litra
b),
under henvisning til forslag fra Kommissionen
1),
under henvisning til udtalelse fra Europa-Parlamentet
2), og
ud fra følgende betragtninger:
(1) Den Europæiske Union har sat sig som
målsætning at opretholde og udvikle et område med
frihed, sikkerhed og retfærdighed; fælles handling
mellem medlemsstaterne inden for politisamarbejde og retligt
samarbejde i kriminalsager skal tilvejebringe et højt
tryghedsniveau.
(2) Fælles handling vedrørende politisamarbejde i
henhold til artikel 30, stk. 1, litra b), i traktaten om Den
Europæiske Union, og fælles handling vedrørende
retligt samarbejde i kriminalsager i henhold til artikel 31, stk.
1, litra a), i traktaten om Den Europæiske Union
indebærer, at det er nødvendigt at behandle relevante
oplysninger, som bør være omfattet af passende
bestemmelser om beskyttelse af personoplysninger.
(3) Retsforskrifter, der falder ind under afsnit VI i
traktaten om Den Europæiske Union, bør styrke
politisamarbejdet og det retlige samarbejde i kriminalsager for
så vidt angår såvel effektiviteten af dette
samarbejde som dets legitimitet og overensstemmelse med de
grundlæggende rettigheder, navnlig retten til privatlivets
fred og til beskyttelse af personoplysninger. Fælles
standarder for behandling og beskyttelse af personoplysninger, der
behandles med henblik på forebyggelse og bekæmpelse af
kriminalitet, kan bidrage til at nå begge mål.
(4) Haag-programmet om styrkelse af frihed, sikkerhed og
retfærdighed i Den Europæiske Union, som Det
Europæiske Råd vedtog den 4. november 2004,
understregede behovet for en nyskabende tilgang til udvekslingen
på tværs af grænserne af oplysninger
vedrørende retshåndhævelse under streng
overholdelse af en række væsentlige krav på
databeskyttelsesområdet og opfordrede Kommissionen til senest
ved udgangen af 2005 at fremsætte forslag i den henseende.
Dette udmøntede sig
i Rådets og
Kommissionens handlingsplan om gennemførelse af
Haag-programmet om styrkelse af frihed, sikkerhed og
retfærdighed i Den Europæiske Union. 3)(5) Udvekslingen af
personoplysninger i forbindelse med politisamarbejde og retligt
samarbejde i kriminalsager, navnlig i medfør af princippet
om oplysningernes tilgængelighed som fastsat i
Haag-programmet, bør være omfattet af klare, (...)
regler, der øger den gensidige tillid mellem de kompetente
myndigheder og sikrer, at de relevante oplysninger beskyttes
på en måde, der udelukker enhver forskelsbehandling af
dette samarbejde mellem medlemsstaterne og samtidig respekterer
fysiske personers grundlæggende rettigheder fuldt ud. De
eksisterende instrumenter på europæisk plan er ikke
tilstrækkelige. Europa-Parlamentets og Rådets direktiv
95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger og om fri
udveksling af sådanne oplysninger
4)finder ikke anvendelse på behandlingen af
personoplysninger i forbindelse med en aktivitet, der falder uden
for anvendelsesområdet for fællesskabsretten,
såsom de aktiviteter, der er omhandlet i afsnit VI i
traktaten om Den Europæiske Union, og under ingen
omstændigheder på behandling i forbindelse med den
offentlige sikkerhed, forsvaret, statens sikkerhed og statens
aktiviteter på det strafferetlige område.
(5a) Rammeafgørelsen finder kun anvendelse på
oplysninger, der er indsamlet eller behandlet af kompetente
myndigheder med henblik på at forebygge, efterforske,
afsløre eller retsforfølge
straffelovsovertrædelser eller fuldbyrde strafferetlige
sanktioner. Rammeafgørelsen overlader det til
medlemsstaterne at fastsætte mere præcise bestemmelser
på nationalt plan om, hvilke andre formål der skal
anses for uforenelige med det formål, hvortil oplysningerne
oprindeligt er indsamlet. Generelt er viderebehandling til
historiske, statistiske eller videnskabelige formål ikke
uforenelig med det oprindelige formål med behandlingen.
(6) Denne rammeafgørelses anvendelsesområde er
begrænset til behandling af personoplysninger, der
videregives eller stilles til rådighed mellem medlemsstater.
Denne begrænsning berører på ingen måde
Den Europæiske Unions kompetence til at vedtage retsakter om
indsamling og behandling af personoplysninger på nationalt
plan eller det formålstjenlige i EU's mulighed herfor i
fremtiden.
(6a) For at fremme udvekslingen af oplysninger i Den
Europæiske Union agter medlemsstaterne at sikre, at den
standard for databeskyttelse, der anvendes i behandlingen af
oplysninger på nationalt plan, stemmer overens med standarden
i denne rammeafgørelse. For så vidt angår
national databeskyttelse er denne rammeafgørelse er ikke til
hinder for, at medlemsstaterne kan yde sikkerhedsgarantier for
beskyttelse af personoplysninger, der er mere omfattende end dem,
der er fastsat i denne rammeafgørelse.
(6b) Denne rammeafgørelse finder ikke anvendelse
på personoplysninger, som en medlemsstat har opnået
inden for denne rammeafgørelses anvendelsesområde, og
som stammer fra denne medlemsstat.
(7) En indbyrdes tilnærmelse af medlemsstaternes
lovgivninger bør ikke føre til en forringelse af den
databeskyttelse, disse yder, men bør tværtimod have
til formål at sikre et højt beskyttelsesniveau i
EU.
(8) Det er nødvendigt at specificere målene for
databeskyttelsen i forbindelse med politimæssige og retlige
aktiviteter og fastsætte bestemmelser om det lovlige i at
behandle personoplysninger for at sikre, at oplysninger, der
måtte blive udvekslet, er blevet behandlet på
retmæssig vis og i overensstemmelse med de
grundlæggende principper vedrørende datakvalitet.
Samtidig bør politiets, toldvæsenets samt retslige og
andre kompetente myndigheders legitime aktiviteter på ingen
måde bringes i fare.
(8a) Princippet om oplysningernes rigtighed skal anvendes
på en måde, så der tages hensyn til den
pågældende behandlings art og formål. Eksempelvis
er oplysninger navnlig i retssager baseret på en subjektiv
opfattelse af enkeltpersoner, og er i visse tilfælde helt
umulige at kontrollere. Kravet om oplysningernes rigtighed kan
derfor ikke vedrøre et udsagns rigtighed, men blot det
forhold, at der er fremsat et specifikt udsagn. (...)
(8b) Det er kun tilladt at arkivere oplysninger i en
særskilt samling, hvis oplysningerne ikke længere er
nødvendige for og ikke længere anvendes til
forebyggelse, efterforskning, afsløring eller
retsforfølgning af straffelovsovertrædelser eller
fuldbyrdelse af strafferetlige sanktioner. Det er desuden tilladt
at arkivere oplysninger i en særskilt samling, hvis de
arkiverede oplysninger lagres i en database med andre oplysninger
på en sådan måde, at de ikke længere kan
anvendes til forebyggelse, efterforskning, afsløring eller
retsforfølgning af straffelovsovertrædelser eller
fuldbyrdelse af strafferetlige sanktioner. Hvor længe det er
passende at arkivere oplysningerne afhænger af
formålene med arkiveringen og de registreredes legitime
interesser. I forbindelse med arkivering til historiske
formål kan der også overvejes en meget lang
arkiveringsperiode.
(8c) Oplysningerne kan også slettes ved at destruere
datamediet.
(8d) Urigtige, ufuldstændige eller
ikke-ajourførte oplysninger, som videregives til eller
stilles til rådighed for en anden medlemsstat og
viderebehandles af kvasiretlige myndigheder, dvs. myndigheder med
beføjelser til at træffe retligt bindende
afgørelser, skal rettes, slettes eller blokeres i henhold
til national ret.
(9) For at sikre et højt beskyttelsesniveau for fysiske
personers personoplysninger kræves der fælles
bestemmelser for vurdering af lovligheden og kvaliteten af
oplysninger, der behandles af de kompetente myndigheder i andre
medlemsstater.
(10) Det er hensigtsmæssigt på EU-plan at
fastsætte de betingelser, under hvilke medlemsstaternes
kompetente myndigheder bør have lov til at videregive
personoplysninger modtaget fra andre medlemsstater til og stille
personoplysninger til rådighed for myndigheder og private i
medlemsstaterne. I mange tilfælde er videregivelse af
personoplysninger fra retsvæsenet, politiet eller
toldvæsenet til private nødvendig af hensyn til
retsforfølgning af strafbare handlinger eller
afværgelse af en umiddelbar og alvorlig trussel mod den
offentlige sikkerhed og forebyggelse af alvorlige krænkelser
af enkeltpersoners rettigheder, f.eks. ved at foretage
indberetninger om forfalskninger af værdipapirer til banker
og kreditinstitutter, eller for så vidt angår
køretøjskriminalitet ved at videregive
personoplysninger til forsikringsselskaber for at forebygge ulovlig
handel med stjålne motorkøretøjer eller
forbedre betingelserne for at finde stjålne
motorkøretøjer i udlandet. Dette er ikke ensbetydende
med overførsel af politimæssige eller retlige opgaver
til private.
(10a) Reglerne i denne
rammeafgørelse for videregivelse af personoplysninger
fra retsvæsenet, politiet eller toldvæsenet til private
vedrører ikke videregivelse af oplysninger til private
(f.eks. forsvarsadvokater og ofre) som led i straffesager.
(11) Den yderligere behandling af personoplysninger, der er
modtaget fra eller stillet til rådighed af den kompetente
myndighed i en anden medlemsstat, især yderligere
videregivelse eller tilrådighedsstillelse af sådanne
oplysninger, bør være omfattet af fælles regler
på EU-plan.
(11a) Når personoplysninger kan viderebehandles, efter
at den medlemsstat, som oplysningerne er modtaget fra, har givet
sit samtykke, kan hver medlemsstat fastsætte de nærmere
regler for en sådant samtykke, herunder ved f.eks. at give
sit generelle samtykke for så vidt angår bestemte
kategorier af oplysninger eller bestemte lande.
(11b) Når personoplysninger kan viderebehandles med
henblik på administrative procedurer, omfatter disse
procedurer også aktiviteter, der udføres af (...)
regulerings- eller tilsynsorganer.
(11c) Politiets, toldvæsenets samt retslige og andre
kompetente myndigheders legitime aktiviteter kan kræve, at
der sendes oplysninger til myndigheder i tredjelande eller
internationale organisationer, der har forpligtelser med hensyn til
forebyggelse, efterforskning, afsløring eller
retsforfølgning af straffelovsovertrædelser eller
fuldbyrdelse af strafferetlige sanktioner.
(12) Når personoplysninger overføres fra en
EU-medlemsstat til tredjelande eller internationale organisationer,
bør disse oplysninger principielt være sikret en
passende grad af beskyttelse.
(12a) Videregivelse af personoplysninger fra en EU-medlemsstat
til tredjelande eller internationale organer forudsætter i
princippet, at den medlemsstat, hvor oplysningerne er indsamlet,
har givet sin godkendelse til at videregive disse. Hver medlemsstat
kan fastsætte de nærmere regler for en sådan
godkendelse, herunder ved f.eks. at give sin generelle godkendelse
for så vidt angår bestemte kategorier af oplysninger
eller bestemte lande.
(12b) Hvis arten af truslen mod en medlemsstats eller et
tredjelands offentlige sikkerhed er så umiddelbar, at det er
umuligt at indhente forhåndsgodkendelse i tide, kan den
kompetente myndighed af hensyn til et effektivt
retshåndhævelsessamarbejde videregive de relevante
personoplysninger til det pågældende tredjeland uden en
sådan forhåndsgodkendelse. Det samme kan også
være tilfældet, hvis andre af en medlemsstats
væsentlige interesser af samme betydning står på
spil, f.eks. hvis en medlemsstats kritiske infrastruktur er
genstand for en overhængende og alvorlig trussel, eller hvis
en medlemsstats finansielle system kunne blive udsat for alvorlig
forstyrrelse.
(13) Det kan være nødvendigt at underrette den
registrerede om behandlingen af oplysningerne om vedkommende,
navnlig i tilfælde af særlig alvorlige indgreb i den
pågældendes rettigheder som følge af
foranstaltninger vedrørende hemmelig indsamling af
oplysninger, for at give den registrerede mulighed for effektiv
retsbeskyttelse.
(13a) Medlemsstaterne sikrer, at den registrerede underrettes
om, at indsamling, behandling eller overførsel af
personoplysninger til en anden medlemsstat kan finde sted eller
finder sted med henblik på at forebygge, efterforske,
afsløre eller retsforfølge
straffelovsovertrædelser eller fuldbyrde strafferetlige
sanktioner. De nærmere bestemmelser for den registreredes ret
til at blive informeret og undtagelserne herfra fastlægges i
den nationale lovgivning. Dette kan ske generelt, f.eks. gennem
lovgivning eller ved offentliggørelse af en oversigt over
behandlingerne.
(14) For at sikre beskyttelsen af personoplysninger uden at
bringe formålet med strafferetlige efterforskninger i fare er
det nødvendigt at definere den registreredes
rettigheder.
(14a) Nogle medlemsstater har sikret aktindsigt for den
registrerede i kriminalsager via en ordning, hvor den nationale
tilsynsmyndighed i stedet for den registrerede har uhindret adgang
til alle personoplysninger og også kan rette, slette eller
ajourføre urigtige oplysninger. I sådanne
tilfælde med indirekte adgang kan den nationale lovgivning i
disse medlemsstater bestemme, at den nationale tilsynsmyndighed kun
skal meddele den registrerede, at alle nødvendige kontroller
er foretaget. Disse medlemsstater åbner også mulighed
for, at den registrerede kan få direkte adgang i
særlige tilfælde, f eks. adgang til strafferegistret,
fremskaffelse af udskrifter fra egne strafferegistre eller adgang
til politiets afhøringsrapport.
(15) Det er hensigtsmæssigt at fastsætte
fælles regler for fortrolighed og sikkerhed i forbindelse med
behandlingen, for erstatningsansvar og sanktioner, hvis de
kompetente myndigheder anvender oplysningerne ulovligt, samt for de
retsmidler, der står til rådighed for den registrerede.
Det er imidlertid op til den enkelte medlemsstat at
fastlægge, hvordan dens erstatningsbestemmelser skal
udformes, og hvilke sanktioner der skal finde anvendelse ved
overtrædelser af de nationale
databeskyttelsesbestemmelser.
(15a) Denne rammeafgørelse giver mulighed for, at der
ved gennemførelsen af de principper, der er fastsat i den,
kan tages hensyn til princippet om aktindsigt i offentlige
dokumenter.
(15b) Når det er nødvendigt at beskytte
personoplysninger i forbindelse med behandling, der i kraft af
omfang eller karakter indebærer særlige risici for den
registreredes grundlæggende rettigheder og
frihedsrettigheder, f.eks. behandling ved hjælp af nye
teknologier, mekanismer eller procedurer, er det
hensigtsmæssigt at sikre, at de kompetente nationale
tilsynsmyndigheder konsulteres forud for oprettelsen af registre,
som sigter mod behandlingen af disse data.
(16) Oprettelsen i medlemsstaterne af tilsynsmyndigheder, der
udfører deres opgaver helt uafhængigt, indgår
som en væsentlig del af beskyttelsen af personoplysninger,
der behandles i forbindelse med politisamarbejde og retligt
samarbejde mellem medlemsstaterne.
(16a) De myndigheder, der allerede er oprettet i
medlemsstaterne i henhold til artikel 28 i direktiv 95/46/EF, kan
også påtage sig ansvaret for de opgaver, der skal
udføres af de nationale tilsynsmyndigheder, der oprettes i
henhold til denne rammeafgørelse.
(17) Disse myndigheder bør have de fornødne
beføjelser til at varetage deres opgaver, herunder
efterforsknings- og interventionsbeføjelser, navnlig i
tilfælde af klager fra enkeltpersoner, eller beføjelse
til at indbringe sager for en retsinstans. De bør bidrage
til at tilvejebringe gennemsigtighed i databehandling, der
udføres i de medlemsstater, de henhører under. Disse
myndigheders beføjelser bør imidlertid ikke gribe ind
i de specifikke regler, der er fastsat for straffesager eller i
retternes uafhængighed (...).
(18)
(19) I artikel 47 i traktaten om Den Europæiske Union
fastsættes det, at ingen af nævnte traktats
bestemmelser berører traktaterne om oprettelse af De
Europæiske Fællesskaber og senere traktater og akter om
ændring eller supplering af disse. Denne
rammeafgørelse berører følgelig ikke
beskyttelsen af personoplysninger i medfør af
fællesskabsretten, navnlig som fastsat i Europa-Parlamentets
og Rådets direktiv 95/46/EF, Europa-Parlamentets og
Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om
beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger i fællesskabsinstitutionerne og -organerne
og om fri udveksling af sådanne oplysninger
5)og Europa-Parlamentets og
Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af
personoplysninger og beskyttelse af privatlivets fred i den
elektroniske kommunikationssektor (direktiv om databeskyttelse
inden for elektronisk kommunikation)
6).
(20)
(21)
(21a) (…).
(22)
(23) Denne rammeafgørelse berører ikke
bestemmelserne vedrørende ulovlig adgang til oplysninger i
Rådets rammeafgørelse 2005/222/RIA af 24. februar 2005
om angreb på informationssystemer.
(24) Denne rammeafgørelse berører ikke
gældende forpligtelser, der påhviler medlemsstaterne
eller Den Europæiske Union i henhold til bilaterale og/eller
multilaterale aftaler, der er indgået med tredjelande.
Fremtidige aftaler skal være i overensstemmelse med reglerne
om udveksling med tredjelande.
(24a) Adskillige retsakter vedtaget på basis af afsnit
VI i EU-traktaten indeholder specifikke bestemmelser om beskyttelse
af personoplysninger, der udveksles eller på anden måde
behandles i henhold til disse retsakter. I nogle tilfælde
udgør disse bestemmelser et komplet og konsistent
regelkompleks, der omfatter alle relevante aspekter af
databeskyttelse (principper vedrørende datakvalitet, regler
vedrørende datasikkerhed, regulering af de registreredes
rettigheder og sikkerhedsgarantier samt organisering af tilsyn og
ansvar), og de regulerer disse forhold mere detaljeret end denne
rammeafgørelse. Den relevante række af
databeskyttelsesbestemmelser i disse retsakter, navnlig
bestemmelserne om Europols, Eurojusts, SIS's og CIS's
funktionsmåde samt de bestemmelser der giver medlemsstaternes
myndigheder direkte adgang til datasystemer i visse andre
medlemsstater, berøres ikke af denne rammeafgørelse.
Det samme gælder databeskyttelsesbestemmelserne om automatisk
videregivelse mellem medlemsstater af DNA-profiler,
fingeraftryksoplysninger og nationale registreringsdata for
motorkøretøjer i henhold til Rådets
afgørelse om intensivering af det grænseoverskridende
samarbejde, navnlig om bekæmpelse af terrorisme og
grænseoverskridende kriminalitet.
(24b) I andre tilfælde er anvendelsesområdet for
bestemmelserne om databeskyttelse i retsakter vedtaget på
basis af afsnit VI i EU-traktaten mere begrænset. Ofte
stilles der i disse retsakter specifikke betingelser til den
medlemsstat, der modtager personoplysninger fra andre medlemsstater
med hensyn til det formål, hvortil den kan anvende de
pågældende oplysninger, mens der med hensyn til andre
aspekter af databeskyttelse henvises til Europarådets
konvention om beskyttelse af det enkelte menneske i forbindelse med
elektronisk databehandling af personoplysninger af 28. januar 1981
eller til national lovgivning.
I det omfang bestemmelserne i de retsakter, der opstiller
betingelser for de modtagende medlemsstater med hensyn til
anvendelse eller yderligere videregivelse af personoplysninger, er
mere restriktive end de tilsvarende bestemmelser i denne
rammeafgørelse, bør førstnævnte
bestemmelser også fortsat gælde. For så vidt
angår alle andre aspekter bør reglerne i denne
rammeafgørelse imidlertid finde anvendelse.
(25) Denne rammeafgørelse berører ikke
Europarådets konvention af 28. januar 1981 om beskyttelse af
det enkelte menneske i forbindelse med databehandling af
personoplysninger, tillægsprotokollen til denne konvention af
8. november 2001 eller Europarådets konventioner om retligt
samarbejde i kriminalsager.
(26) Målet for den påtænkte handling, nemlig
fastsættelse af fælles regler for beskyttelse af
personoplysninger i forbindelse med politisamarbejde og retligt
samarbejde i kriminalsager, kan ikke i tilstrækkelig grad
opfyldes af medlemsstaterne og kan derfor på grund af den
påtænkte handlings omfang og virkninger bedre nås
på EU-plan; Rådet kan derfor træffe
foranstaltninger i overensstemmelse med subsidiaritetsprincippet,
jf. EF-traktatens artikel 5 og EU-traktatens artikel 2. I
overensstemmelse med proportionalitetsprincippet, jf. EF-traktatens
artikel 5, går denne rammeafgørelse ikke ud over, hvad
der er nødvendigt for at nå disse mål.
(27) Det Forenede Kongerige deltager i denne
rammeafgørelse i overensstemmelse med artikel 5 i
protokollen om integration af Schengen-reglerne i Den
Europæiske Union, der er knyttet som bilag til traktaten om
Den Europæiske Union og til traktaten om oprettelse af Det
Europæiske Fællesskab, og artikel 8, stk. 2, i
Rådets afgørelse 2000/365/EF af 29. maj 2000 om
anmodningen fra Det Forenede Kongerige Storbritannien og Nordirland
om at deltage i visse bestemmelser i Schengen-regleme
8).
(28) Irland deltager i denne rammeafgørelse i
overensstemmelse med artikel 5 i protokollen om integration af
Schengen-reglerne i Den Europæiske Union, der er knyttet som
bilag til traktaten om Den Europæiske Union og til traktaten
om oprettelse af Det Europæiske Fællesskab, og artikel
6, stk. 2, i Rådets afgørelse 2002/192/EF af 28.
februar 2002 om anmodningen fra Irland om at deltage i visse
bestemmelser i Schengen-reglerne.
(29) For Islands og Norges vedkommende er denne
rammeafgørelse et led i udviklingen af de bestemmelser i
Schengen-reglerne, jf. aftalen indgået mellem Rådet for
Den Europæiske Union og Republikken Island og Kongeriget
Norge om disse to staters associering i gennemførelsen,
anvendelsen og udviklingen af Schengen-reglerne, der falder ind
under det område, der er nævnt i artikel 1, litra H og
I, i Rådets afgørelse 1999/437/EF af 17. maj 1999 om
visse gennemførelsesbestemmelser til nævnte aftale
9).
(30) For Schweiz' vedkommende er denne rammeafgørelse
et led i udviklingen af de bestemmelser i Schengen-reglerne, jf.
aftalen indgået mellem Den Europæiske Union, Det
Europæiske Fællesskab og Det Schweiziske Forbund om Det
Schweiziske Forbunds associering i gennemførelsen,
anvendelsen og udviklingen af Schengen-reglerne, der falder ind
under det område, der er nævnt i artikel 1, litra H og
I, i Rådets afgørelse 1999/437/EF af 17. maj 1999
sammenholdt med artikel 4, stk. 1, i Rådets afgørelse
2004/849/EF om undertegnelse, på Den Europæiske Unions
vegne, af og midlertidig anvendelse af visse bestemmelser i
nævnte aftale
10).
(31)
(32) Denne rammeafgørelse respekterer de
grundlæggende rettigheder og de principper, der navnlig
anerkendes i Den Europæiske Unions charter om
grundlæggende rettigheder. Denne rammeafgørelse tager
sigte på at sikre fuld respekt for retten til privatlivets
fred og beskyttelse af personoplysninger, jf. artikel 7 og 8 i Den
Europæiske Unions charter om grundlæggende rettigheder
-
VEDTAGET FØLGENDE RAMMEAFGØRELSE:
Artikel 1
Formål og
anvendelsesområde
1. Denne rammeafgørelse har til formål at sikre
en høj grad af beskyttelse af fysiske personers
grundlæggende rettigheder og frihedsrettigheder, herunder
navnlig deres ret til privatlivets
fred, for så vidt angår behandlingen af
personoplysninger i forbindelse med politisamarbejde og retligt
samarbejde i kriminalsager, jf. afsnit VI i traktaten om Den
Europæiske Union, og samtidig sikre en høj grad af
offentlig sikkerhed.
2. Medlemsstaterne beskytter i
overensstemmelse med denne rammeafgørelse fysiske
personers grundlæggende rettigheder og frihedsrettigheder og
navnlig deres ret til privatlivets fred
(...), når personoplysninger med henblik på at
forebygge, efterforske, afsløre eller retsforfølge
straffelovsovertrædelser eller fuldbyrde strafferetlige
sanktioner
a) videregives
eller er videregivet eller stilles til rådighed eller er
stillet til rådighed mellem medlemsstater
b) videregives
eller er videregivet eller stilles til rådighed eller er
stillet til rådighed af medlemsstater for myndigheder eller
informationssystemer, der er oprettet på basis af afsnit VI i
traktaten om Den Europæiske Union, eller
c) videregives
eller er videregivet eller stilles til rådighed eller er
stillet til rådighed for de kompetente myndigheder i
medlemsstaterne af myndigheder eller informationssystemer, der er
oprettet på basis af traktaten om Den Europæiske Union
eller traktaten om oprettelse af Det Europæiske
Fællesskab.
3. Denne rammeafgørelses bestemmelser anvendes på
behandling af personoplysninger, der helt eller delvis foretages
elektronisk, samt på ikke-elektronisk behandling af
personoplysninger, der er eller vil blive indeholdt i et
register.
4. Denne rammeafgørelse berører ikke
væsentlige nationale sikkerhedsinteresser og specifikke
efterretningsaktiviteter vedrørende national
sikkerhed.
5. Denne rammeafgørelse er ikke til hinder for, at
medlemsstaterne med henblik på beskyttelse af
personoplysninger, som indsamles eller behandles på nationalt
plan, kan yde sikkerhedsgarantier beskyttelse, der er mere
omfattende end dem, der er fastsat i denne
rammeafgørelse.
Artikel 2
Definitioner
I denne rammeafgørelse forstås ved:
a)
»personoplysninger«: oplysninger vedrørende en
identificeret eller identificerbar fysisk person (»den
registrerede«); ved identificerbar person forstås en
person, der direkte eller indirekte kan identificeres, bl.a. ved et
identifikationsnummer eller et eller flere elementer, der er
særlige for denne persons fysiske, fysiologiske, psykiske,
økonomiske, kulturelle eller sociale identitet
b)
»behandling af personoplysninger«
(»behandling«): enhver operation eller række af
operationer - med eller uden brug af elektroniske midler - som
personoplysninger gøres til genstand for, f.eks. indsamling,
registrering, systematisering, lagring, tilpasning eller
ændring, udlæsning, søgning, brug, videregivelse
ved transmission, formidling eller enhver anden form for
overladelse, sammenstilling eller samkøring samt blokering,
sletning eller tilintetgørelse
c)
»blokering«: markering af lagrede personoplysninger med
den hensigt at begrænse den fremtidige behandling af disse
oplysninger.
d) »register
med personoplysninger« (»register«): enhver
struktureret samling af personoplysninger, der er
tilgængelige efter bestemte kriterier, hvad enten denne
samling er placeret centralt, decentralt eller er fordelt på
et funktionsbestemt eller geografisk grundlag
e)
»registerfører«: ethvert organ, der behandler
personoplysninger på den registeransvarliges vegne
f)
»modtager«: ethvert organ, som oplysningerne
videregives til
g) »den
registreredes samtykke«: enhver frivillig, specifik og
informeret viljestilkendegivelse, hvorved den registrerede
indvilliger i, at personoplysninger, der vedrører den
pågældende, gøres til genstand for
behandling
i)
»kompetente myndigheder«: myndigheder, der er oprettet
ved retsakter vedtaget af Rådet i henhold til afsnit VI i
traktaten om Den Europæiske Union, samt politi,
toldvæsen, retslige myndigheder og andre kompetente
myndigheder i medlemsstaterne, der i henhold til national lov har
beføjelse til at behandle personoplysninger inden for denne
rammeafgørelses anvendelsesområde;
j) »den
registeransvarlige«: den fysiske eller juridiske person,
offentlige myndighed, institution eller ethvert andet organ, der
alene eller sammen med andre afgør, til hvilket formål
og med hvilke hjælpemidler der må foretages behandling
af personoplysninger;
k)
»referenceangivelse«: markering af lagrede
personoplysninger, uden at det er hensigten at begrænse den
fremtidige behandling af disse oplysninger
l) »at
gøre anonym«: at ændre personoplysninger
på en sådan måde, at detaljer om personlige eller
materielle forhold ikke længere eller kun med en
uforholdsmæssig stor indsats af tid, omkostninger og
arbejdskraft kan knyttes til en identificeret eller identificerbar
fysisk person.
Artikel 3
Princippet om lovmæssighed,
proportionalitet og formål
1. De kompetente myndigheder må kun indsamle
personoplysninger til udtrykkeligt angivne og legitime formal inden
for rammerne af deres opgaver, og må kun behandles til det
formål, som de er indsamlet til. Behandlingen af
oplysningerne skal være lovlig og tilstrækkelig,
relevant og stå i et rimeligt forhold til
formålet.
2. Viderebehandling til et andet formål er tilladt,
hvis
a) denne behandling
ikke er uforenelig med det formål, hvortil oplysningerne er
indsamlet,
b) de kompetente
myndigheder er bemyndiget til at behandle oplysningerne efter de
for dem gældende retsforskrifter, og
c) denne behandling
er nødvendig for og hensigtsmæssig i forhold til dette
formål.
Derudover må de kompetente myndigheder viderebehandle de
videregivne personoplysninger til historiske, statistiske eller
videnskabelige formål, såfremt medlemsstaterne
fastsætter passende garantier, som f.eks. ved at
oplysningerne gøres anonyme.
Artikel 4
Rettelse, sletning og blokering
1. Personoplysninger skal rettes, hvis de er urigtige, og om
muligt og nødvendigt suppleres eller
ajourføres.
2. Personoplysninger skal slettes eller gøres anonyme,
når de ikke længere er nødvendige til de
formål, hvortil de er indsamlet eller viderebehandles
på lovlig vis. Denne bestemmelse berører ikke
arkivering af oplysninger i en særskilt samling i en passende
periode i henhold til den nationale lovgivning.
3. Personoplysninger slettes ikke, men blokeres, hvis der er
rimelig grund til at tro, at en sletning kunne påvirke den
registreredes legitime interesser. Blokerede oplysninger må
kun behandles til det formål, der gjorde, at de ikke blev
slettet.
4. Når personoplysningerne er indeholdt i en
retsafgørelse eller et register, der er knyttet til
udstedelsen af en retsafgørelse, skal rettelsen, sletningen
eller blokeringen gennemføres i henhold til de nationale
retsplejeregler.
Artikel 5
Artikel 6
Fastlæggelse af sletnings- og
undersøgelsesfrister
Der skal fastsættes passende frister for sletningen af
personoplysninger eller regelmæssig undersøgelse af
behovet for lagringen. Det sikres ved proceduremæssige
foranstaltninger, at disse frister overholdes.
Artikel 7
Behandling af særlige
kategorier af oplysninger
Behandling af personoplysninger om racemæssig eller
etnisk baggrund, politisk, religiøs eller filosofisk
overbevisning og fagforeningsmæssigt tilhørsforhold
samt oplysninger om helbredsforhold eller seksuelle forhold er kun
tilladt, når det er strengt nødvendigt, og når
der er fastsat passende sikkerhedsgarantier i den nationale
lovgivning.
Artikel 8
Elektroniske individuelle
afgørelser
En afgørelse, der har negative retlige virkninger for
den registrerede eller påvirker vedkommende betydeligt, og
som udelukkende er baseret på elektronisk databehandling med
henblik på vurdering af individuelle aspekter
vedrørende den registreredes person, er kun tilladt,
når den registreredes legitime interesser er sikret ved
lov.
Artikel 9
Verifikation af kvaliteten af de
oplysninger, der videregives eller stilles til rådighed
1. De kompetente myndigheder træffer alle rimelige
foranstaltninger til at sikre, at personoplysninger, der er
urigtige, ufuldstændige eller ikke ajourførte, ikke
videregives eller stilles til rådighed. I dette øjemed
verificerer de kompetente myndigheder så vidt muligt
kvaliteten af personoplysningerne, før de videregives eller
stilles til rådighed. I forbindelse med al videregivelse af
oplysninger skal der så vidt muligt tilføjes
tilgængelige oplysninger, der gør det muligt for den
modtagende medlemsstat at vurdere, om oplysningerne er rigtige,
fuldstændige, ajourførte og pålidelige. Hvis
personoplysningerne blev videregivet uanmodet, vurderer den
modtagende myndighed straks, om oplysningerne er nødvendige
til det formål, hvortil de blev videregivet.
2. Hvis det konstateres, at der er videregivet urigtige
oplysninger, eller at oplysningerne er videregivet ulovligt,
meddeles dette straks modtageren. Oplysningerne skal rettes,
slettes eller blokeres omgående i overensstemmelse med
artikel 4.
Artikel 10
Tidsfrister
1. Den videregivende myndighed kan ved videregivelsen eller
tilrådighedsstillelsen af oplysningerne inden for rammerne af
den nationale lovgivning og i henhold til artikel 4 og 6 henvise
til de frister for opbevaring af oplysninger, efter hvis
udløb også modtageren skal slette eller blokere
oplysningerne eller undersøge, om der fortsat er behov for
dem. Denne forpligtelse gælder ikke, hvis oplysningerne ved
udløbet af disse frister skal bruges i forbindelse med en
igangværende undersøgelse, retsforfølgelse af
lovovertrædelser eller håndhævelse af
strafferetlige sanktioner.
2. Når den videregivende myndighed har undladt at
henvise til en tidsfrist i henhold til stk. 1, gælder de
tidsfrister, der er fastsat i artikel 4 og 6, for opbevaring af
oplysninger, som er omhandlet i den modtagende medlemsstats
nationale lovgivning.
Artikel 11
Registrering og dokumentation
1. Hver videregivelse af personoplysninger skal registreres
eller dokumenteres med henblik på at kontrollere, om
databehandlingen er lovlig, samt med henblik på at
udøve egenkontrol og sikre dataenes integritet og
sikkerhed.
2. Registreringer, der foretages, eller dokumentation, der
udarbejdes i henhold til stk. 1, videregives til den kompetente
tilsynsmyndighed på dennes anmodning med henblik på
kontrol af databeskyttelsen. Den kompetente tilsynsmyndighed
anvender kun disse oplysninger med henblik på kontrol af
databeskyttelsen og med henblik på at sikre en korrekt
databehandling og dataenes integritet og sikkerhed.
Artikel 12
Behandling af personoplysninger, der
modtages fra eller stilles til rådighedaf en anden
medlemsstat
1. Personoplysninger, der modtages fra eller stilles til
rådighed af en anden medlemsstats kompetente myndighed,
må i henhold til kravene i artikel 3, stk. 2, kun
viderebehandles til følgende andre formål end dem,
hvortil de blev videregivet eller stillet til rådighed:
a) forebyggelse,
efterforskning, afsløring eller retsforfølgning af
straffelovsovertrædelser eller fuldbyrdelse af strafferetlige
sanktioner i forbindelse med andre straffelovsovertrædelser
eller sanktioner end dem, hvortil de blev videregivet eller stillet
til rådighed
b) andre retlige og
administrative procedurer, som hænger direkte sammen med
forebyggelse, efterforskning, afsløring eller
retsforfølgning af straffelovsovertrædelser eller
fuldbyrdelse af strafferetlige sanktioner
c) afværgelse
af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed
eller
d) ethvert andet
formål med forhåndsgodkendelse fra den videregivende
medlemsstat eller med den registreredes samtykke givet i
overensstemmelse med national ret
Derudover må de kompetente myndigheder viderebehandle de
videregivne personoplysninger til historiske, statistiske eller
videnskabelige formål, såfremt medlemsstaterne
fastsætter passende garantier, som f.eks. ved at
oplysningerne gøres anonyme.
Artikel 13
Overholdelse af nationale
begrænsninger for behandling
1. Når specifikke begrænsninger for behandling i
henhold til den videregivende medlemsstats lovgivning under
særlige omstændigheder finder anvendelse på
udveksling af oplysninger mellem de kompetente myndigheder i denne
medlemsstat, gør den videregivende myndighed modtageren
opmærksom på disse begrænsninger. Modtageren skal
sikre, at disse begrænsninger overholdes.
2. Ved anvendelse af stk. 1 anvender medlemsstaterne ikke
andre restriktioner for videregivelse af oplysninger til andre
medlemsstater eller myndigheder, der er oprettet i henhold til
afsnit VI i traktaten om Den Europæiske Union, end dem, der
anvendes i de tilsvarende bestemmelser for videregivelse af
oplysninger på nationalt plan.
Artikel 14
Videregivelse til de kompetente
myndigheder i tredjelande eller til internationale
organisationer
1. Medlemsstaterne fastsætter bestemmelser om, at
personoplysninger, der modtages fra eller stilles til
rådighed af den kompetente myndighed i en anden medlemsstat,
kun må videregives til tredjelande eller internationale
organer eller internationale organisationer, der er oprettet ved
internationale aftaler eller anerkendt som internationale organer,
hvis
a) det er
nødvendigt for forebyggelse, efterforskning,
afsløring eller retsforfølgning af
straffelovsovertrædelser eller fuldbyrdelse af strafferetlige
sanktioner
b) den modtagende
myndighed i tredjelandet, det modtagende internationale organ eller
den modtagende internationale organisation har ansvaret for at
forebygge, efterforske, afsløre eller retsforfølge
straffelovsovertrædelser eller fuldbyrde strafferetlige
sanktioner.
c) den medlemsstat,
hvor oplysningerne er indsamlet, har givet sin godkendelse til at
videregive disse i henhold til sin nationale lovgivning, og
d) det
pågældende tredjeland eller internationale organ sikrer
et tilstrækkeligt beskyttelsesniveau for den
påtænkte behandling af oplysningerne.
2. Videregivelse uden forhåndsgodkendelse i henhold til
stk. 1, litra c), er kun lovlig, hvis videregivelsen af
oplysningerne er afgørende for forebyggelse af en umiddelbar
og alvorlig trussel mod en medlemsstats eller et tredjelands
offentlige sikkerhed eller en medlemsstats væsentlige
interesser, og forhåndsgodkendelsen ikke kan indhentes i
tide. Den myndighed, der skal give sin godkendelse, skal orienteres
omgående.
3. Uanset stk. 1, litra d), kan personoplysninger videregives,
hvis
a) den nationale
lovgivning i den medlemsstat, der videregiver oplysningerne, giver
mulighed herfor på grund af
i) den
registreredes specifikke legitime interesser eller
ii) legitime
vigtige interesser, navnlig vigtige offentlige interesser,
eller
b) tredjelandet,
det modtagende internationale organ eller den modtagende
internationale organisation giver sikkerhedsgarantier, som den
pågældende medlemsstat anser for tilstrækkelige i
henhold til sin nationale lovgivning.
4. Vurderingen af, om beskyttelsesniveauet i stk. 1, litra d),
er tilstrækkeligt, sker på grundlag af samtlige de
forhold, der har indflydelse på en videregivelse eller en
type videregivelse af oplysninger. Til grund for vurderingen
lægges navnlig oplysningernes art, den eller de
påtænkte behandlingers formål og varighed,
oprindelseslandet og det land eller den internationale
organisation, der er slutmodtager, de retsregler - almindelige
regler eller sektorregler - der er i kraft i det
pågældende tredjeland eller den pågældende
internationale organisation, samt de regler for god forretningsskik
og de sikkerhedsforanstaltninger, der gælder i landet.
Artikel 14a
Videregivelse af oplysninger til
private i medlemsstaterne
1. Medlemsstaterne fastsætter bestemmelser om, at
personoplysninger, der modtages fra eller stilles til
rådighed af en anden medlemsstats kompetente myndighed, kun
kan videregives til private, hvis
a) den kompetente
myndighed i den medlemsstat, hvor oplysningerne er indsamlet, har
givet tilladelse til videregivelse i henhold til sin nationale
lovgivning,
b) den
registreredes specifikke legitime interesser ikke forhindrer
videregivelse, og
c) videregivelse af
oplysninger i særlige tilfælde er afgørende for
den kompetente myndighed, der videregiver oplysningerne til en
privat, af hensyn til:
i)
udførelsen af en opgave, den er blevet pålagt ved
lov
ii) forebyggelse,
efterforskning, afsløring eller retsforfølgning af
straffe lovsovernædelser eller fuldbyrdelse af strafferetlige
sanktioner
iii)
afværgelse af en umiddelbar og alvorlig trussel mod den
offentlige sikkerhed eller
iv) forebyggelse af
alvorlige krænkelser af enkeltpersoners rettigheder
2. Den kompetente myndighed, der videregiver oplysningerne til
en privatperson, orienterer denne om, hvilke formål
oplysningerne udelukkende må anvendes til.
Artikel 15
Oplysninger på den kompetente
myndigheds anmodning
Efter anmodning orienterer modtageren den kompetente
myndighed, der har videregivet eller stillet personoplysningerne
til rådighed, om behandlingen af disse.
Artikel 16
Oplysningspligt over for den
registrerede
1. Medlemsstaterne sikrer, at den registrerede er underrettet
om myndighedernes indsamling og behandling af personoplysninger i
henhold til den nationale lovgivning.
2. Når personoplysninger er blevet videregivet eller
stillet til rådighed mellem medlemsstater, kan hver
medlemsstat i henhold til de i stk. 1 omhandlede bestemmelser i
dens nationale lovgivning anmode den anden medlemsstat om ikke at
underrette den registrerede. I sådanne tilfælde
underretter sidstnævnte medlemsstat kun den registrerede,
hvis den anden medlemsstats på forhånd har givet sit
samtykke hertil.
Artikel 17
Ret til indsigt
1. Hver registreret person er berettiget til på
anmodning, fremsat med rimelige mellemrum, uhindret og uden
større ventetid eller større udgifter at
modtage:
a) mindst en
bekræftelse fra den registeransvarlige eller den nationale
tilsynsmyndighed af, om der er videregivet personoplysninger eller
stillet personoplysninger til rådighed om den
pågældende, samt information om de modtagere eller
kategorier af modtagere, oplysningerne er videregivet til, og
meddelelse om, hvilke oplysninger der er omfattet af behandlingen,
eller
b) mindst en
bekræftelse fra den nationale tilsynsmyndighed på, at
der er foretaget alle fornødne kontroller.
2. Medlemsstaterne kan træffe lovmæssige
foranstaltninger, der begrænser retten til indsigt, jf. stk.
1, litra a), hvis en sådan begrænsning under hensyn til
den pågældende persons legitime interesser, er en
nødvendig og proportionel foranstaltning:
a) for at
undgå, at der lægges hindringer i vejen for officielle
eller retlige undersøgelser, efterforskninger eller
procedurer
b) for at
undgå, at forebyggelsen, afsløringen, efterforskningen
og retsforfølgning af strafbare handlinger skades, eller af
hensyn til fuldbyrdelsen af strafferetlige sanktioner
c) for at beskytte
den offentlige sikkerhed
d) for at beskytte
den nationale sikkerhed
e) for beskyttelsen
af den registrerede eller andres rettigheder og
frihedsrettigheder.
3. Nægtelse eller begrænsning af adgangen til
oplysninger skal meddeles den registrerede skriftligt. Samtidig
skal de faktiske eller retlige grunde, som afgørelsen hviler
på, også meddeles vedkommende. Meddelelsen kan
undlades, hvis dette kan begrundes i henhold til stk. 2, litra
a)-e). I alle disse tilfælde skal den registrerede
gøres opmærksom på, at han kan indgive klage til
den kompetente nationale tilsynsmyndighed, en retlig myndighed
eller en domstol.
Artikel 18
Ret til berigtigelse, sletning eller
blokering
1. Den registrerede har ret til at forvente, at den
registeransvarlige overholder sine forpligtelser i henhold til
artikel 4, 9 og 10 med hensyn til at berigtige, slette eller
blokere personoplysninger, der følger af denne
rammeafgørelse. Medlemsstaterne bestemmer, hvorvidt den
registrerede kan gøre denne rettighed gældende direkte
overfor den registeransvarlige eller gennem den kompetente
nationale tilsynsmyndighed. Hvis den registeransvarlige
afslår berigtigelse, sletning eller blokering, skal afslaget
meddeles skriftligt og den registrerede orienteres om mulighederne
i henhold til den nationale lovgivning for at indgive en klage
eller indbringe sagen for en retsinstans. Efter behandlingen af
klagen informeres den registrerede om, hvorvidt den
registeransvarlige har handlet korrekt eller ej. Medlemsstaterne
kan også fastsætte, at den registrerede blot skal
underrettes af den kompetente nationale tilsynsmyndighed om, at der
er foretaget en undersøgelse.
2. Hvis den registrerede benægter rigtigheden af en
personoplysning, og det ikke kan konstateres, om denne oplysning er
rigtig eller ej, kan der anføres en bemærkning ud for
oplysningen.
Artikel 19
Kompensationsret
1. Enhver, der har lidt skade som følge af en ulovlig
behandling eller enhver anden handling, der er uforenelig med de
nationale bestemmelser, der vedtages til gennemførelse af
denne rammeafgørelse, har ret til erstatning for den
forvoldte skade fra den registeransvarlige eller en anden
myndighed, der er kompetent i henhold til den nationale
lovgivning.
2. Hvis en kompetent myndighed i en medlemsstat har
videregivet personoplysninger, kan modtageren inden for rammerne af
det ansvar, han i henhold til den nationale lovgivning har over for
den skadelidte, ikke påberåbe sig, at de videregivne
oplysninger var urigtige. Hvis modtageren yder erstatning for en
skade, der er forårsaget af anvendelsen af urigtigt
videregivne oplysninger, refunderer den videregivende kompetente
myndighed modtageren den ydede skadeserstatning under hensyn til et
eventuelt ansvar hos modtageren.
Artikel 20
Klageadgang
Med forbehold af en eventuel administrativ klageadgang, inden
sagen indbringes for en domstol, skal den registrerede have ret til
at indbringe krænkelser af de rettigheder, der garanteres ham
i henhold til national lovgivning, for en domstol.
Artikel 21
Fortrolighed i forbindelse med
behandlingen
1, Personer med adgang til personoplysninger, som falder ind
under denne rammeafgørelses anvendelsesområde,
må kun behandle disse oplysninger i deres egenskab af ansatte
i eller efter instruks fra den kompetente myndighed, medmindre der
gælder retlige forpligtelser.
2. Personer, der skal arbejde for en kompetent myndighed i en
medlemsstat, er bundet af alle de databeskyttelsesregler, der
gælder for den pågældende kompetente
myndighed.
Artikel 22
Sikkerhed i forbindelse med
behandlingen
1. Medlemsstaterne fastsætter, at de kompetente
myndigheder skal iværksætte de fornødne tekniske
og organisatoriske foranstaltninger til at beskytte
personoplysninger mod hændelig eller ulovlig
tilintetgørelse, mod hændeligt tab, mod forringelse,
ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig
hvis behandlingen omfatter fremsendelse i et net eller
tilrådighedsstillelse af oplysninger ved at give direkte
elektronisk adgang, og mod enhver anden form for ulovlig
behandling. Der tages i den forbindelse navnlig hensyn til de
risici, som behandlingen indebærer, og arten af de
oplysninger, som skal beskyttes. Disse foranstaltninger skal under
hensyn til det aktuelle tekniske niveau og de omkostninger, som er
forbundet med deres iværksættelse, tilvejebringe et
tilstrækkeligt sikkerhedsniveau i forhold til de risici, som
behandlingen indebærer, og arten af de oplysninger, som skal
beskyttes.
2. Med henblik på elektronisk behandling af oplysninger
træffer hver medlemsstat passende foranstaltninger til at
sikre:
a) at uautoriserede
personer ikke kan få adgang til de anlæg, der benyttes
til behandling af personoplysninger (kontrol med fysisk adgang til
anlæggene)
b) at
databærerne hverken kan læses, kopieres, ændres
eller fjernes af uautoriserede personer (kontrol med
databærere)
c) at forhindre
uautoriseret indlæsning af oplysninger samt uautoriseret
læsning, ændring eller sletning af indlæste
personoplysninger (kontrol med lagring)
d) at
edb-systemerne ikke via datatransmissionsanlæg kan benyttes
af uautoriserede personer (brugerkontrol)
e) at personer med
bemyndigelse til at anvende et elektronisk databehandlingssystem
kun har adgang til de oplysninger, der er omfattet af deres
adgangstilladelse (kontrol med dataadgangen)
f) at det er muligt
at kontrollere og fastslå, til hvilke organer der er blevet
eller kan være blevet videregivet eller stillet
personoplysninger til rådighed ved hjælp af
datakommunikationsudstyr (kontrol med kommunikationsudstyr)
g) at det er muligt
efterfølgende at undersøge og fastslå, hvilke
personoplysninger der er indlæst i edb-systemerne,
hvornår og af hvem (kontrol med indlæsning)
h) at der ikke er
mulighed for ubemyndiget læsning, kopiering, ændring
eller sletning af personoplysninger under overførsler af
disse eller under transport af databærere (kontrol med
transport)
i) at de anvendte
systemer i tilfælde af teknisk uheld kan genetableres
(genopretning)
j) at systemet
fungerer, at indtrufne fejl meldes (pålidelighed), og at
lagrede oplysninger ikke bliver forkerte som følge af
fejlfunktioner i systemet (ægthed).
3. Medlemsstaterne fastsætter, at der som
registerfører kun må udpeges en person, der kan
garantere, at han kan træffe de fornødne tekniske og
organisatoriske foranstaltninger, der er omhandlet i stk. 1, og
overholde de instrukser, der er omhandlet i artikel 21. Den
kompetente myndighed skal kontrollere, at registerføreren
lever op til disse krav.
4. Registerføreren må kun behandle
personoplysninger på grundlag af en retsakt eller en
skriftlig kontrakt.
Artikel 23
Forudgående høring
Medlemsstaterne sikrer, at de kompetente nationale
tilsynsmyndigheder høres inden behandling af
personoplysninger, der vil indgå i et nyt register, der skal
oprettes,
a) når der
behandles særlige kategorier af oplysninger, jf. artikel 7,
eller
b) når formen
for behandling, især anvendelse af nye teknologier,
mekanismer eller procedurer, i andre henseender indebærer
særlige risici for den registreredes grundlæggende
rettigheder og frihedsrettigheder, herunder især dennes
privatliv.
Artikel 24
Sanktioner
Medlemsstaterne træffer de nødvendige
foranstaltninger til at sikre, at denne rammeafgørelses
bestemmelser gennemføres fuldt ud, og de fastsætter
bl.a. sanktioner, der er effektive, står i et rimeligt
forhold til lovovertrædelsen og har afskrækkende
virkning, og som skal finde anvendelse i tilfælde af
overtrædelse af de bestemmelser, der vedtages til
gennemførelse af denne rammeafgørelse.
Artikel 25
Nationale tilsynsmyndigheder
1. Hver medlemsstat fastsætter bestemmelser om, at der
skal udpeges en eller flere offentlige myndigheder, der har til
opgave på dens område at yde rådgivning og
påse overholdelsen af de bestemmelser, medlemsstaten vedtager
til gennemførelse af denne rammeafgørelse. Disse
myndigheder udøver de funktioner, der tillægges dem, i
fuld uafhængighed.
2. Hver tilsynsmyndighed skal navnlig kunne:
a)
iværksætte efterforskninger og bl.a. have adgang til de
oplysninger, der gøres til genstand for en behandling, og
kunne indsamle alle oplysninger, der er nødvendige for at
varetage dens tilsynsopgaver
b) gribe effektivt
ind ved f.eks. at afgive udtalelser forud for
iværksættelsen af behandlinger og sikre en passende
offentliggørelse af disse udtalelser, at beordre oplysninger
blokeret, slettet eller tilintetgjort, midlertidigt eller
definitivt at forbyde en behandling, at udstede en advarsel til den
registeransvarlige eller påtale en overtrædelse over
for den registeransvarlige eller ved at høre nationale
parlamenter eller andre politiske institutioner
c) indbringe
overtrædelser af de nationale bestemmelser, som vedtages til
gennemførelse af denne rammeafgørelse, for
retsinstanserne eller gøre retsinstanserne opmærksom
på disse overtrædelser. Afgørelser truffet af
tilsynsmyndigheden, som går en involveret part imod, kan
indbringes for en retsinstans.
3. Enhver person kan indbringe en sag for enhver
tilsynsmyndighed vedrørende beskyttelse af vedkommendes
rettigheder og frihedsrettigheder i forbindelse med behandlingen af
personoplysninger. Den registrerede underrettes om, hvorledes sagen
følges op.
4. Medlemsstaterne fastsætter, at tilsynsmyndighedernes
medlemmer og ansatte ligeledes er bundet af de
databeskyttelsesbestemmelser, der gælder for den kompetente
myndighed, og også efter deres fratræden har
tavshedspligt for så vidt angår de fortrolige
oplysninger, de har adgang til.
Artikel 27
Forholdet til aftaler med
tredjelande
Denne rammeafgørelse berører ikke forpligtelser,
der påhviler medlemsstaterne eller Den Europæiske Union
i henhold til bilaterale og/eller multilaterale aftaler
indgået med tredjelande, som er gældende ved
rammeafgørelsens vedtagelse.
Ved anvendelsen af disse aftaler foretages overførsel
til et tredjeland af personoplysninger, der er indsamlet i en anden
medlemsstat, i henhold til bestemmelserne i artikel 14, stk. 1,
litra c), og artikel 14, stk. 2, om
forhåndsgodkendelse.
Artikel 27a
Evaluering
1. Tre år efter udløbet af tidsfristen i artikel
28, stk. 1, aflægger medlemsstaterne rapport til Kommissionen
om de nationale foranstaltninger, de har truffet for at sikre, at
denne rammeafgørelse overholdes fuldt ud, og navnlig
også for så vidt angår de bestemmelser, der
allerede skal overholdes, når oplysningerne indsamles.
Kommissionen undersøger især følgerne af
bestemmelsen om anvendelsesområdet i artikel 1, stk. 2.
2. Kommissionen aflægger rapport til Rådet og
Europa-Parlamentet inden et år om resultatet af den
evaluering, der er omhandlet i stk. 1, og vedlægger sin
rapport eventuelle forslag til ændringer.
Artikel 27b
Forbindelse til tidligere vedtagne
EU-retsakter
I tilfælde, hvor der i en retsakt, der er vedtaget
før den i artikel 29 omhandlede dato og i henhold til afsnit
VI i traktaten om Den Europæiske Union, og som regulerer
udveksling af personoplysninger mellem medlemsstater eller
medlemsstaters udpegede myndigheders adgang til
informationssystemer udviklet i medfør af TEF, er fastsat
særlige bestemmelser om den modtagende medlemsstat anvendelse
af sådanne oplysninger, har disse bestemmelser forrang for de
bestemmelser i denne rammeafgørelse, der vedrører
anvendelse af oplysninger, der modtages fra eller stilles til
rådighed af en anden medlemsstat.
Artikel 28
Gennemførelse
1. Medlemsstaterne træffer de nødvendige
foranstaltninger for at efterkomme denne rammeafgørelse
senest to år efter dens vedtagelse.
2. Senest samme dato meddeler medlemsstaterne
Generalsekretariat for Rådet og Kommissionen teksten til de
retsforskrifter, som de udsteder for at gennemføre de
forpligtelser, der følger af denne rammeafgørelse, i
national ret samt information om den eller de tilsynsmyndigheder,
der er omhandlet i artikel 25. På baggrund af disse
oplysninger og en skriftlig rapport fra Kommissionen
undersøger Rådet inden 31. december 2007, om
medlemsstaterne har truffet de foranstaltninger, der er
nødvendige for at efterkomme denne
rammeafgørelse.
Artikel 29
Ikrafttræden
Denne rammeafgørelse træder i kraft på
tyvendedagen efter offentliggørelsen i Den Europæiske
Unions Tidende.
Udfærdiget i Bruxelles, den
På
Rådets vegne
Formand
BILAG II
UDKAST TIL RÅDETS ERKLÆRING
»Rådet vil undersøge, hvordan man i
fremtiden i overensstemmelse med de gældende retsgrundlag kan
samle de opgaver, der udføres af de eksisterende
fælles datatilsynsmyndigheder, som er oprettet særskilt
for Schengen-informationssystemet, Europol, Eurojust og
Toldinformationssystemet, under en datatilsynsmyndighed, herunder
rådgivningsopgaven, idet der tages hensyn til disse systemers
og organers særlige karakter.
Dette er efter Rådets opfattelse en måde,
hvorpå man yderligere kan forbedre organiseringen af
databeskyttelse inden for det politimæssige og strafferetlige
samarbejde.«
Officielle noter
1) …
2) …
3) EUT C 198 af 12.8.2005, .1.
4) EFT L 281 af 23.11.1995, s. 31.
5) EFT L 8 af 12.1.2001, s. 1.
6) EFT L 201 af 31.7.2001, s. 37.
8) EFT L 131 af 1.6.2000, s. 43.
9) EFT L 176 af 10.7.1999, s. 31.
10) EUT L 368 af 15.12.2004, s. 26.