Kopi af REU alm. del - svar på spm. 302 om ministeren kan sende en oversigt over hvilke regler der er i den gældende såvel som den nye Europol forordning, fra justitsministeren

Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Hermed sendes besvarelse af spørgsmål nr. 302 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 25. januar 2017.
Spørgsmålet er stillet efter ønske fra Peter Skaarup (DF).
Søren Pape Poulsen
/
Anders Sparholt Jørgensen
Folketinget
Retsudvalget
Christiansborg
1240 København K
Politi- og Strafferetsafdelingen
Dato: 22. februar 2017
Kontor: Enheden for Internationalt
Politisamarbejde
Sagsbeh: Anne Vibe Bengtsen
Sagsnr.: 2017-0030-5235
Dok.: 2202208
Europaudvalget 2013
KOM (2013) 0173 Bilag 19
Offentligt
2
Spørgsmål nr. 302 (Alm. del) fra Folketingets Retsudvalg:
”Kan ministeren sende en oversigt over hvilke regler der er i
den gældende såvel som den nye Europol forordning, vedrø-
rende databeskyttelse i forhold til lagring og opbevaring af da-
ta, samt hvem der har adgang til hvilke typer af data?”
Svar:
1. Det følger af artikel 10, stk. 1, i Rådets afgørelse af 6. april 2009 om
oprettelse af Den Europæiske Politienhed (Europol), at Europol kan be-
handle oplysninger og efterretninger, herunder personoplysninger, i det
omfang det er nødvendigt for, at Europol kan nå sine mål og i overens-
stemmelse med rådsafgørelsens regler. Det følger endvidere af bestemmel-
sen bl.a., at Europol opretholder og vedligeholder Europols informations-
system (EIS) og de analyseregistre, som er reguleret i rådsafgørelsens arti-
kel 14.
2. Det fremgår af artikel 12, stk. 1, at de oplysninger, der registreres i EIS,
skal vedrøre personer, der i overensstemmelse med den pågældende med-
lemsstats nationale ret mistænkes for at have begået eller have deltaget i en
strafbar handling, der henhører under Europols kompetence, eller som er
dømt for en strafbar handling, eller personer, om hvem der ifølge den be-
rørte medlemsstats nationale ret er konkrete indicier for eller rimelig grund
til at tro, at de vil begå strafbare handlinger, som henhører under Europols
kompetence.
Artikel 12, stk. 2, regulerer hvilke oplysninger vedrørende de personer, der
er omfattet af artikel 12, stk. 1, der må omfattes af registeret. Dette gælder
oplysning om navn, fødedato og fødested, nationalitet, køn, bopæl, erhverv
og opholdssted samt socialsikringsnummer, kørekort, identifikationsdo-
kumenter og pasoplysninger. Registeret må desuden om nødvendigt omfat-
te oplysninger om andre kendetegn, som kan tjene til at identificere perso-
nen, herunder f.eks. fingeraftryksoplysninger og dna-profil.
Ud over de i stk. 2 omhandlede oplysninger kan informationssystemet dog
også anvendes til at behandle en række øvrige oplysninger om strafbare
forhold vedrørende personkredsen omfattet af stk. 1. Dette gælder bl.a.
oplysninger om strafbare handlinger, formodede strafbare handlinger samt
oplysninger om, hvornår, hvor og hvordan de blev begået eller formodes
begået og mistanke om medlemskab af en kriminel organisation, jf. artikel
12, stk. 3.
3
Retten til at foretage søgning i EIS er forbeholdt de nationale enheder,
forbindelsesofficererne, Europols direktør, vicedirektører og bemyndigede
medlemmer af Europols personale. Europol kan søge efter oplysninger,
hvis det er nødvendigt for udførelsen af Europols opgaver i en konkret sag.
De kompetente myndigheder, som medlemsstaterne har udpeget, kan dog
også søge i EIS. Resultatet af en sådan søgning vil imidlertid kun vise, om
de ønskede oplysninger er lagret i informationssystemet, og nærmere op-
lysninger vil skulle indhentes fra den nationale enhed. Der henvises i den
forbindelse til rådsafgørelsens artikel 13.
3. Analyseregistre kan indeholde oplysninger om de personer, der er om-
fattet af artikel 12, stk. 1. Analyseregistre kan dog også indeholde oplys-
ninger om personer, der kan blive indkaldt som vidner i forbindelse med
efterforskninger af de pågældende strafbare forhold eller i efterfølgende
straffesager, personer, der har været offer for en af de pågældende strafba-
re handlinger, eller om hvem visse omstændigheder giver grund til at anta-
ge, at de kan blive offer for en sådan strafbar handling, kontakt- og ledsa-
gepersoner og personer, som kan skaffe oplysninger om de pågældende
strafbare handlinger.
Behandling af personoplysninger om racemæssig eller etnisk oprindelse,
politiske holdninger, religiøs eller filosofisk overbevisning og fagfore-
ningsmæssigt tilhørsforhold samt oplysninger om helbredsforhold eller
seksuelle forhold er kun tilladt, hvis det er strengt nødvendigt af hensyn til
det pågældende registers formål, og hvis disse oplysninger supplerer andre
personoplysninger, der allerede er indeholdt i registeret.
For hvert analyseregister skal Europols direktør i en instruks om oprettelse
af registeret bl.a. fastlægge de persongrupper, der kan lagres oplysninger
om, og typen af oplysninger, der skal lagres, deltagerne i analysegruppen
på det tidspunkt, hvor registeret oprettes, og betingelserne for videregivel-
se af de lagrede personoplysninger, herunder til hvilke modtagere og under
hvilke betingelser.
Alle deltagere i en analysegruppe kan søge oplysninger i registeret. Til
analysegruppen er knyttet analytikere og andet personale ved Europol, der
udpeges af direktøren, og forbindelsesofficerer og/eller eksperter fra de
medlemsstater, der har leveret oplysningerne, eller som er berørt af analy-
sen.
4
4. Det følger af rådsafgørelsens artikel 20, at Europol kun lagrer oplysnin-
ger i dataregistre, så længe det er nødvendigt for udførelsen af Europols
opgaver. Det skal senest tre år efter registreringen undersøges, om det fort-
sat er nødvendigt at opbevare de pågældende oplysninger. Det kan ved
denne gennemgang besluttes fortsat at lagre de pågældende oplysninger
indtil næste gennemgang, der finder sted efter en ny treårsperiode, hvis
lagringen stadig er nødvendig for udførelsen af Europols opgaver.
5. Rådsafgørelsens kapitel 5 indeholder bestemmelser om databeskyttelse
og datasikkerhed, herunder bestemmelser om databeskyttelsesniveau, da-
tabeskyttelsesansvar og datasikkerhed.
Det følger således af artikel 35, at hver medlemsstat og Europol med hen-
blik på Europols databehandling træffer foranstaltninger for bl.a. at forhin-
dre uautoriseret registrering af oplysninger samt uautoriseret adgang til
ændring eller sletning af registrerede personoplysninger og sikrer, at auto-
riserede personer kun får adgang til de oplysninger, som henhører under
deres kompetence, og at det er muligt at undersøge og fastslå, til hvilke
myndigheder, der kan videregives eller er blevet videregivet personoplys-
ninger.
6. Reglerne om behandling af personoplysninger er med den nye Europol-
fordning – Europa-Parlamentets og Rådets forordning af 11. maj 2016 om
Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Euro-
pol) – ændret således, at der med forordningen bl.a. er fastsat mere detalje-
rede regler om, til hvilke formål forskellige typer af oplysninger kan be-
handles, samt om kilder, adgang til og brug af oplysninger.
7. Det følger af artikel 18 i den nye Europol-forordning, at Europol kun
kan behandle oplysninger, herunder personoplysninger, i det omfang, det
er nødvendigt af hensyn til agenturets målsætninger, og kun til følgende
fire formål: a) krydstjek med henblik på at finde sammenhænge eller andre
relevante forbindelser mellem oplysninger, b) analyser af strategiske eller
tematiske art, c) operationelle analyser samt d) lettelse af informationsud-
veksling mellem medlemsstater, Europol, andre EU-organer, tredjelande
og internationale organisationer.
Dataleverandøren (f.eks. medlemsstat, EU-organ, tredjeland eller interna-
tionale organisationer) bestemmer til hvilke(t) af de fire hjemlede databe-
handlingsformål oplysningerne kan behandles. Europol må kun behandle
oplysninger til andre formål end dem, som dataleverandøren har meddelt
5
til, hvis dataleverandøren giver tilladelse hertil. Dataleverandøren kan fast-
sætte begrænsninger i adgangen til eller brugen af oplysningerne. Der hen-
vises i den forbindelse til forordningens artikel 19.
8. Bilag 2 til forordningen regulerer de kategorier af personer og de kate-
gorier af personoplysninger, der kan indsamles og behandles i forbindelse
med databehandlingsformålene.
Det fremgår af bilag 2, at personoplysninger, der indsamles og behandles
med henblik på krydstjek, skal vedrører personer, som i overensstemmelse
med national ret mistænktes for at have begået eller deltaget i en strafbar
handling, der henhører under Europols kompetence, eller som er dømt for
en sådan handlinger, eller personer, om hvem der i henhold til national ret
er konkrete indicier for eller en rimelige grund til at antage, at de vil begå
strafbare handlinger, som henhøre under Europols kompetence.
For disse kategorier af personer kan der registreres oplysninger om bl.a.
navn, fødedato og fødested, nationalitet, køn, bopæl, erhverv og opholds-
sted samt socialsikringsnummer, kørekort, identifikationsdokumenter og
pasoplysninger og om nødvendigt oplysninger om andre kendetegn, som
kan tjene til at identificere personen, herunder f.eks. fingeraftryksoplys-
ninger og dna-profil. Der kan endvidere indsamles og behandles oplysnin-
ger om bl.a. strafbare handlinger, formodede strafbare handlinger samt
oplysninger om, hvornår, hvor og hvordan de blev begået eller formodes
begået og mistanke om medlemskab af en kriminel organisation.
Personoplysninger, der indsamles og behandles med henblik på analyser af
strategisk og tematisk art, skal vedrører personer, som i overensstemmelse
med national ret mistænktes for at have begået eller deltaget i en strafbar
handling, der henhører under Europols kompetence, eller personer, om
hvem der i henhold til nationale ret er konkrete indicier for eller en rimeli-
ge grund til at antage, at de vil begå strafbare handlinger, som henhøre
under Europols kompetence. Der kan med henblik på analyser af strategisk
og tematisk art ligeledes indsamles og behandles oplysninger om vidner,
offer for en af de pågældende strafbare handlinger, eller om hvem visse
omstændigheder giver grund til at antage, at de kan blive offer for en sådan
strafbar handling, kontakt- og ledsagepersoner og personer, som kan skaffe
oplysninger om de pågældende strafbare handlinger.
For disse kategorier af personer kan der bl.a. registreres personlige oplys-
ninger så som navn, køn, fødselsdato, fødested, statsborgerskab, bopæl
6
mv., oplysninger om fysiske kendetegn, identifikationsdokumenter, er-
hverv og kvalifikationer, adfærd og anvendte kommunikations- og trans-
portmidler mv.
9. Det følger af forordningens artikel 20, at medlemsstaterne har direkte
adgang til oplysninger, som Europol opbevarer, når de er meddelt til brug
for enten krydstjek eller analyser af strategiske og tematiske art.
Det følger endvidere af bestemmelsen, at medlemsstaterne har indirekte
adgang baseret på et hit/no hit-system til oplysninger meddelt til brug for
operationelle analyser i konkrete tilfælde. De tilknyttede person- eller
sagsoplysninger udleveres kun efter en separat opfølgende procedure.
Europols ansatte, som er bemyndiget hertil af Europols administrerede
direktør, har adgang til de oplysninger, som Europol behandler i det om-
fang, det er nødvendigt for, at de kan udføre deres opgaver.
Europol skal endvidere træffe de nødvendige foranstaltninger for, at Euro-
just og Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) kan få
indirekte adgang baseret på et hit/no hit-system til oplysninger meddelt til
brug for krydstjek, analyser af strategiske og tematiske art eller operatio-
nelle analyser. Der er endvidere mulighed for, at Europol og Eurojust kan
indgå en samarbejdsordning, der på gensidig vis sikrer adgang til og mu-
lighed for at søge i oplysninger, der er meddelt med henblik på krydstjek.
Eurojust og OLAF kan kun foretage søgninger efter oplysninger med det
formål at konstatere, om oplysninger hos Eurojust og OLAF svarer til de
oplysninger, som Europol behandler.
10. Europol kan efter forordningens artikel 31 kun opbevare personoplys-
ninger, så længe det er nødvendigt og står i rimeligt forhold til de formål,
hvortil personoplysningerne behandles. Europol skal også efter forordnin-
gen senest tre år efter behandlingen af personoplysningen undersøge, om
det fortsat er nødvendigt at opbevare de pågældende oplysninger. Europol
kan ved denne gennemgang beslutte fortsat at lagre de pågældende oplys-
ninger indtil næste gennemgang, der finder sted efter en ny treårsperiode,
hvis lagringen stadig er nødvendig for udførelsen af Europols opgaver.
Hvis det ikke besluttes at fortsætte opbevaringen af personoplysningerne,
skal oplysningerne automatisk slettes efter tre år.
11. Forordningens kapitel 6 indeholder bestemmelser om databeskyttelses-
garantier, herunder bestemmelser om databeskyttelsesansvar, datasikker-
7
hed, den registreredes rettigheder og tilsyn.
Forordningen bestemmelser om databeskyttelse er til dels en videreførelse
af reglerne i rammeafgørelsen. Forordningen indeholder dog også en ræk-
ke ændringer, som har til formål samlet at styrke databeskyttelsesordnin-
gen for Europol. Det drejer sig bl.a. om en styrkelse af den registreredes
ret til indsigt i egne personoplysninger, som behandles af Europol samt
tildeling af kompetence for Den Europæiske Tilsynsførende for Databe-
skyttelse til i samarbejde med de nationale tilsynsmyndigheder at føre til-
syn og sikre anvendelse af forordningens bestemmelser om beskyttelse af
grundlæggende rettigheder og frihedsrettigheder med hensyn til Europols
behandling af personoplysninger.
Endvidere er Europols forpligtelse til at foretage logning og dokumentati-
on blevet udvidet. Europol skal således ifølge forordningens artikel 40
henblik på kontrol af lovligheden af databehandlingen samt med henblik
på at udøve egenkontrol og sikre dataenes integritet og sikkerhed registrere
indsamling, ændring, adgang, videregivelse, samkøring og sletning af per-
sonoplysninger. Der kan ikke ændres i loggen, og loggen eller dokumenta-
tionen skal slettes efter tre år, medmindre der indeholdes oplysninger heri,
som stadig er nødvendig til løbende kontrol.
12. Den nye Europol-forordning finder anvendelse fra 1. maj 2017.