L 168 - svar på spm. 2 om ministerens kommentar til ændringsforslagene til L 168 stillet af Enhedslisten, fra justitsministeren

Retsudvalget 2016-17
L 168 endeligt svar på spørgsmål 2
Offentligt
2
Spørgsmål nr. 2 fra Folketingets Retsudvalg vedrørende forslag til lov
om retshåndhævende myndigheders behandling af personoplysninger.
(Gennemførelse af direktiv om databeskyttelse på retshåndhævelses-
området) (L 168):
”Vil ministeren kommentere ændringsforslagene til L 168 stil-
let af Enhedslisten, og oplyse om ændringsforslagene vil med-
føre konsekvenser for Danmarks tilknytning til Europol?”
Svar:
1. Enhedslisten har i forbindelse med Folketingets Retsudvalgs behandling
af lovforslag nr. L 168 om retshåndhævende myndigheders behandling af
personoplysninger stillet ændringsforslag nr. 3-9, jf. udkast til udvalgets
betænkning over lovforslaget.
Det bemærkes overordnet, at en vedtagelse af de ændringsforslag, der er
stillet af Enhedslisten, ikke vil have betydning for den forventede aftale
om fortsat dansk tilknytning til Europol efter den 1. maj 2017.
2. Ændringsforslag nr. 3 vedrører spørgsmålet om lovforslagets anvendelse
på den behandling af personoplysninger, som foretages af og for Forsva-
rets Efterretningstjeneste og Politiets Efterretningstjeneste. Det foreslås, at
det præciseres, at efterretningstjenesternes behandling af personoplysnin-
ger alene skal falde uden for lovforslagets anvendelsesområde i det om-
fang, at der er tale om aktiviteter, der falder uden for EU-retten.
Det fremgår af lovforslagets § 1, stk. 2, at loven ikke finder anvendelse på
den behandling af personoplysninger, som foretages for eller af politiets og
forsvarets efterretningstjenester.
Som nævnt i pkt. 2.1.3.6 i lovforslagets almindelige bemærkninger finder
retshåndhævelsesdirektivet ikke anvendelse på aktiviteter, der falder uden
for EU-retten, hvilket omfatter spørgsmål om den nationale sikkerhed.
Det fremgår endvidere, at loven – som det er tilfældet for persondataloven
i dag – derfor ikke skal finde anvendelse på den behandling af personop-
lysninger, der foretages for eller af efterretningstjenesterne, idet denne
behandling sker med henblik på varetagelsen af den nationale sikkerhed.
3
Justitsministeriet finder på den baggrund ikke, at der er behov for at fore-
tage den foreslåede præcisering af, hvornår efterretningstjenesternes be-
handling af personoplysninger er omfattet af lovforslagets anvendelsesom-
råde.
I det omfang efterretningstjenesterne måtte blive pålagt at udføre opgaver,
der ikke har forbindelse til varetagelsen af den nationale sikkerhed, vil der
skulle tages stilling til, om retshåndhævelsesdirektivets regler skal finde
anvendelse på behandlingen af personoplysninger i forbindelse med så-
danne aktiviteter.
3. Ændringsforslag nr. 4 vedrører lovforslagets regler om frister for slet-
ning af personoplysninger. Det foreslås således, at der tilføjes et nyt stk. 2
til lovforslagets § 7, hvor det præciseres, at der ved fastsættelse af slettefri-
ster og proceduremæssige foranstaltninger skal tages særligt hensyn til, om
der er tale om oplysninger om personer under 15 år.
Det fremgår af lovforslagets § 7, at den dataansvarlige skal tilrettelægge
behandlingen af personoplysninger således, at der fastsættes passende fri-
ster for sletningen af personoplysninger eller regelmæssig undersøgelse af
behovet for lagringen af oplysningerne. Det sikres endvidere ved procedu-
remæssige foranstaltninger, at tidsfristerne overholdes.
Lovforslagets regler om slettefrister skal ses i sammenhæng med lov-
forslagets krav om, at der skal sondres mellem forskellige kategorier af
registrerede, jf. pkt. 4 nedenfor.
Det vil således efter Justitsministeriets opfattelse følge af forpligtelsen for
de kompetente myndighederne til at fastsætte passende slettefrister, at der
bl.a. tages hensyn til, hvilken kategori af en registreret person der er tale
om, herunder hvis der er tale om oplysninger om personer under 15 år.
Justitsministeriet finder på den baggrund ikke, at der er behov for at fore-
tage den foreslåede ændring.
4. Ændringsforslag nr. 5 og 6 vedrører lovforslagets krav om, at der skal
sondres mellem forskellige kategorier af registrerede.
Det foreslås således, at ”så vidt muligt” skal udgå af lovforslagets § 8 for
at præcisere, at der i alle tilfælde skal sondres mellem forskellige kategori-
er af registrerede, og at der skal tilføjes et nyt stk. 2 til bestemmelsen,
4
hvoraf det fremgår, at der skal tages hensyn til, om der er tale om registre-
rede, der ikke er mistænkt for strafbare handlinger.
Efter lovforslagets § 8 skal den dataansvarlige, når det er relevant, så vidt
muligt sondre mellem personoplysninger om forskellige kategorier af regi-
strerede, herunder 1) personer, om hvem der er væsentlig grund til at tro, at
de har begået eller vil begå en strafbar handling, 2) personer, der er dømt
for en strafbar handling, 3) ofre for en strafbar handling eller personer, om
hvem visse faktiske omstændigheder giver anledning til at tro, at de kunne
blive ofre for en strafbar handling, og 4) andre parter i forbindelse med en
strafbar handling, såsom personer, der kan blive indkaldt som vidner i ef-
terforskninger i forbindelse med strafbare handlinger eller i efterfølgende
straffesager, personer, der kan tilvejebringe oplysninger om strafbare
handlinger, eller kontakt- eller ledsagepersoner for de personer, der er
nævnt i nr. 1 og 2.
Det fremgår af pkt. 2.3.3.3 i lovforslagets almindelige bemærkninger, at
kravet om, at der skal sondres mellem personoplysninger om forskellige
kategorier af registrerede, har til formål at sikre, at den dataansvarlige an-
vender en differentieret tilgang til, om behandlingskravene er opfyldt. En
sådan sondring kan således f.eks. være relevant, når den dataansvarlige
skal vurdere, om de indsamlede oplysninger kan anses for at være korrek-
te, eller hvornår oplysningerne skal slettes.
Det fremgår endvidere, at persondataloven ikke indeholder eksplicitte reg-
ler om, at de kompetente myndigheder skal foretage sådanne sondringer,
men at overholdelsen af de almindelige databehandlingsprincipper efter
Justitsministeriets opfattelse vil medføre, at der allerede efter gældende ret
er behov for, at de kompetente myndigheder, inden en konkret behandling
iværksættes, inddrager spørgsmålet om, hvilken kategori af registreret per-
son der er tale om.
Hertil kommer, at også praksis fra Den Europæiske Menneskerettigheds-
domstol forudsætter, at der i visse sammenhænge skal sondres mellem
forskellige kategorier af registrerede, jf. Domstolens dom af 4. december
2008 (i sagen S og Marper mod Storbritannien, sagsnr. 30562). Domstole-
ne tog i sagen stilling til en ordning i Storbritannien, hvorefter oplysninger
fra mistænkte om fingeraftryk, celleprøver og DNA blev opbevaret uden
tidsbegrænsning og uden hensyntagen til, om de pågældende efterfølgende
blev dømt for et strafbart forhold. Domstolen fandt, at denne ordning var i
5
strid med Den Europæiske Menneskerettighedskonventions artikel 8 om
retten til privatliv, idet Domstolen bl.a. henviste til, at den omstændighed,
at mistænktes og dømtes DNA-oplysninger blev opbevaret på samme må-
de, ikke var i overensstemmelse med princippet om uskyldsformodningen.
Det fremgår herudover af de specielle bemærkninger til lovforslagets § 8,
at kravet om, at der skal sondres mellem forskellige kategorier af registre-
rede, efter omstændighederne fortsat vil kunne opfyldes på forskellige må-
der. Der vil således kunne ske en opfyldelse af kravet ved at anvende for-
skellige databehandlingssystemer eller forskellige generelle regler for for-
skellige kategorier af registrerede. Det vil endvidere kunne opfyldes gen-
nem konkrete angivelser af, hvilken kategori af registrerede som en given
oplysning vedrører, hvilket muliggør, at der vil kunne foretages en konkret
afvejning, inden der iværksættes behandling. Angivelsen af, at der så vidt
muligt skal sondres, indebærer dog, at der i de fleste sammenhænge ikke
skal ske en forskellig behandling af oplysninger om de forskellige katego-
rier af registrerede i den samme konkrete straffesag.
For så vidt angår forslaget om, at angivelsen ”for så vidt muligt” skal udgå
af lovforslagets § 8, vil det efter Justitsministeriets opfattelse indebære
uforholdsmæssigt store byrder for de kompetente myndigheder, hvis kra-
vet om, at der skal sondres mellem forskellige kategorier af registrerede
gøres absolut. Det vil f.eks. ikke være muligt i alle tilfælde konkret at son-
dre mellem de oplysninger om forskellige kategorier af registrerede, som
måtte fremgå af den samme politirapport.
Justitsministeriet finder på den baggrund ikke, at der bør foretages den
foreslåede ændring.
For så vidt angår forslaget om, at der skal tilføjes et nyt stk. 2 til lovforsla-
gets § 8, hvoraf det fremgår, at der skal tages hensyn til, om der er tale om
registrerede, der ikke er mistænkt for strafbare handlinger, vil det efter
Justitsministeriets opfattelse følge af forpligtelsen for de kompetente myn-
digheder til at sondre mellem forskellige kategorier af registrerede, at der
tillige skal tages hensyn til, om der er tale om registrerede, der ikke er mis-
tænkte for strafbare forhold, jf. også i den forbindelse den ovenfor nævnte
henvisning til Menneskerettighedsdomstolens afgørelse i sagen S og Mar-
per mod Storbritannien.
5. Ændringsforslag nr. 7 vedrører lovforslagets regler om fortegnelser. Det
foreslås således, at det tilføjes til lovforslagets § 23, stk. 1 og 2, at forteg-
6
nelserne skal gøres tilgængelige for offentligheden. Der henvises i den
forbindelse til, at en offentliggørelse af fortegnelserne vil gøre det muligt
for de registrerede at gøre brug af deres indsigtsret, ligesom en offentliggø-
relse generelt kan styrke borgernes tillid til den offentlige sektors behand-
ling af personoplysninger.
Det fremgår af lovforslagets § 23, stk. 1 og 2, at henholdsvis den dataan-
svarlige og databehandleren skal føre fortegnelser over alle kategorier af
behandlingsaktiviteter. Den dataansvarliges fortegnelser skal bl.a. indehol-
de oplysninger om navn på og kontaktoplysninger for den dataansvarlige
og, hvis det er relevant, den fælles dataansvarlige og databeskyttelsesråd-
giveren, samt om formålene med behandlingen.
Justitsministeriet er enig i, at det er en forudsætning for, at de registrerede
har mulighed for at udøve deres rettigheder efter loven, at de registrerede
har adgang til oplysninger om den behandling af personoplysninger, som
foretages af de kompetente myndigheder.
Det er imidlertid Justitsministeriets opfattelse, at lovforslagets regler om
de kompetente myndigheders pligt til at stille oplysninger til rådighed for
de registrerede varetager hensynet til at sikre, at de registrerede har mulig-
hed for at udøve deres rettigheder efter loven.
Det fremgår således af lovforslagets § 13, stk. 1, at de kompetente myn-
digheder skal stille oplysninger til rådighed for de registrerede om bl.a.
identitet på og kontaktoplysninger for den dataansvarlige, kontaktoplys-
ninger for databeskyttelsesrådgiveren og oplysninger om dennes funktion i
forhold til de registrerede, og om formålene med den behandling, som per-
sonoplysningerne skal bruges til.
Justitsministeriet finder på den baggrund ikke, at der er behov for at fore-
tage den foreslåede ændring.
6. Ændringsforslag nr. 8 vedrører lovforslagets regler om overførsel af
personoplysninger til tredjelande eller internationale organisationer.
Det foreslås således, at det tilføjes til lovforslagets § 36, at overførsel i
enkeltstående og specifikke tilfælde alene kan ske efter forudgående tilla-
delse fra tilsynsmyndigheden. Der henvises bl.a. til, at en ordning, hvor
den kompetente myndighed selv foretager vurderingen af, om der kan ske
overførsel til andre end kompetente myndigheder og internationale organi-
7
sationer, ikke i tilstrækkelig grad sikrer de grundlæggende retssikkerheds-
garantier for de registrerede, hvis personoplysninger bliver overført.
Lovforslagets afsnit VII indeholder regler om overførsler af personoplys-
ninger til tredjelande eller internationale organisationer.
Det er bl.a. en betingelse for, at der kan ske overførsel af personoplysnin-
ger til tredjelande og internationale organisationer, at der foreligger et så-
kaldt overførselsgrundlag, jf. lovforslagets kapitel 17. Der kan endvidere
som udgangspunkt kun ske overførsel til dataansvarlige i tredjelande eller
internationale organisationer, der er kompetente i forhold til de formål, der
er nævnt i lovforslagets § 1, stk. 1, dvs. forebyggelse, efterforskning, afslø-
ring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af straf-
feretlige sanktioner.
Lovforslagets kapitel 17 indeholder regler om forskellige overførsels-
grundlag. Der kan således ske overførsel, hvis Europa-Kommissionen har
truffet afgørelse om, at tredjelandet, et område eller en eller flere specifik-
ke sektorer i dette tredjeland eller den pågældende internationale organisa-
tion har et tilstrækkeligt beskyttelsesniveau, jf. lovforslagets § 33.
Foreligger der ikke en afgørelse fra Europa-Kommissionen, kan der ske
overførsel, hvis der i en international aftale er givet de fornødne garantier,
hvad angår beskyttelsen af personoplysninger, eller den dataansvarlige har
vurderet alle forhold i forbindelse med overførslen af personoplysninger
og konkluderer, at der findes de fornødne garantier for beskyttelsen af per-
sonoplysninger, jf. lovforslagets § 34.
Foreligger der ikke en afgørelse fra Europa-Kommissionen eller de for-
nødne garantier for beskyttelsen af personoplysninger, kan en overførsel
eller en kategori af overførsler kun finde sted, hvis overførslen er nødven-
dig af en række kvalificerede grunde, f.eks. for at beskytte den registrere-
des eller en anden persons vitale interesser eller for at afværge en umid-
delbar og alvorlig trussel mod en medlemsstats eller et tredjelands offent-
lige sikkerhed.
Lovforslagets § 36 indeholder en undtagelse til den ovenfor nævnte hoved-
regel om, at der kun kan ske overførsel til dataansvarlige i tredjelande eller
internationale organisationer, der er kompetente i forhold til de formål, der
er nævnt i lovforslagets § 1, stk. 1.
8
Det fremgår således af lovforslagets § 36, at de kompetente myndigheder
kan overføre personoplysninger til andre end kompetente myndigheder og
internationale organisationer på baggrund af international aftale eller i en-
keltstående og specifikke tilfælde, hvis en række betingelser er opfyldt.
For det første skal overførslen være strengt nødvendig for den overførende
kompetente myndigheds udførelse af en opgave, der følger af lovgivnin-
gen, og forfølger de formål, der er nævnt i § 1, stk. 1.
For det andet skal den overførende kompetente myndighed fastslå, at ingen
af den pågældende registreredes grundlæggende rettigheder går forud for
samfundets interesse, der nødvendiggør overførslen i det foreliggende til-
fælde.
For det tredje skal den overførende kompetente myndighed vurdere, at
overførslen til en myndighed, der i tredjelandet er kompetent i forhold til
de formål, der er nævnt i § 1, stk. 1, er ineffektiv eller uhensigtsmæssig,
navnlig fordi overførslen ikke kan foretages i tide.
For det fjerde skal den myndighed, der i tredjelandet er kompetent i for-
hold til de formål, der er nævnt i § 1, stk. 1, underrettes uden unødig for-
sinkelse, medmindre dette er ineffektivt eller uhensigtsmæssigt.
For det femte skal den overførende kompetente myndighed underrette
modtageren om det eller de specifikke formål, hvortil sidstnævnte udeluk-
kende kan behandle personoplysningerne, forudsat at denne behandling er
nødvendig.
Det fremgår videre af bestemmelsens stk. 2, at den overførende kompeten-
te myndighed skal dokumentere og underrette tilsynsmyndigheden om
overførsler i medfør af stk. 1.
Det er Justitsministeriets opfattelse, at lovforslagets § 36 indeholder en
meget snæver adgang for de kompetente myndigheder til i enkeltstående
og specifikke tilfælde at overføre personoplysninger til andre end kompe-
tente myndigheder og internationale organisationer.
Hertil kommer, at de kompetente myndigheder skal underrette tilsynsmyn-
digheden, når der foretages en overførsel af personoplysninger til en ikke-
kompetent myndighed i et tredjeland eller en international organisation.
Tilsynsmyndigheden vil i den forbindelse kunne føre tilsyn med, om den
9
pågældende overførsel er i overensstemmelse med lovens regler, samt
kunne udøve alle sine beføjelser, herunder meddele påbud og forbud, jf.
lovforslagets § 42.
Justitsministeriet finder på den baggrund ikke, at der er behov for at fore-
tage den foreslåede ændring.
7. Ændringsforslag nr. 9 vedrører en revisionsbestemmelse. Det foreslås
således, at der indsættes en ny bestemmelse, hvorefter justitsministeren
skal fremsætte lovforslag om revision af loven i folketingsåret 2019-20.
Justitsministeriet finder ikke, at der er behov for at indsætte en revisions-
bestemmelse i loven, idet hensynet til at sikre, at lovens regler fungerer i
praksis, varetages på anden måde.
Det fremgår således af det udkast til aftale om operationelt og strategisk
samarbejde mellem Danmark og Europol, som blev oversendt til Folketin-
gets Retsudvalgs orientering den 21. marts 2017, at Europa-Kommissionen
senest den 31. oktober 2020 vil foretage en vurdering af aftalen, herunder
aftalens regler om databeskyttelse, jf. aftalens artikel 25.
Hertil kommer, at tilsynsmyndighederne efter lovforslagets § 45 skal afgi-
ve en årlig beretning om deres virksomhed til Folketinget og justitsmini-
steren, ligesom tilsynsmyndighederne vil føre tilsyn med de myndigheder,
der er omfattet af lovforslaget.