Betænkning afgivet af Retsudvalget den 20. april 2017
Tilhører sager:
Aktører:
AX19953
https://www.ft.dk/ripdf/samling/20161/lovforslag/L168/20161_L168_betaenkning.pdf
Betænkning afgivet af Retsudvalget den 20. april 2017 Betænkning over Forslag til lov om retshåndhævende myndigheders behandling af personoplysninger (Gennemførelse af direktiv om databeskyttelse på retshåndhævelsesområdet) [af justitsministeren (Søren Pape Poulsen)] 1. Ændringsforslag Der er stillet 9 ændringsforslag til lovforslaget. Justitsmi- nisteren har stillet ændringsforslag nr. 1 og 2, og Enhedsli- stens medlemmer af udvalget har stillet ændringsforslag nr. 3-9. 2. Udvalgsarbejdet Lovforslaget blev fremsat den 28. marts 2017 og var til 1. behandling den 31. marts 2017. Lovforslaget blev efter 1. behandling henvist til behandling i Retsudvalget. Møder Udvalget har behandlet lovforslaget i 1 møde. Høring Et udkast til lovforslaget har inden fremsættelsen været sendt i høring, og justitsministeren sendte den 1. marts 2017 dette udkast til udvalget, jf. REU alm. del – bilag 187. Den 23. marts 2017 sendte justitsministeren de indkomne hø- ringssvar og et notat herom til udvalget. Spørgsmål Udvalget har stillet 2 spørgsmål til justitsministeren til skriftlig besvarelse, som denne har besvaret bortset fra spørgsmål 2, som forventes besvaret inden 2. behandling. 3. Indstillinger Et flertal i udvalget (S, V, LA og KF) indstiller lovforsla- get til vedtagelse med de af justitsministeren stillede æn- dringsforslag. Et mindretal i udvalget (EL, ALT, RV og SF) indstiller lovforslaget til vedtagelse med de stillede ændringsforslag. Et andet mindretal i udvalget (DF) indstiller lovforslaget til vedtagelse med de under nr. 1-3 og 5-9 stillede ændrings- forslag. Mindretallet vil stemme imod det under nr. 4 stille- de ændringsforslag. Et tredje mindretal i udvalget (IA) vil ved 3. behandling stemme hverken for eller imod lovforslaget. Tjóðveldi og Javnaðarflokkurin var på tidspunktet for be- tænkningens afgivelse ikke repræsenteret med medlemmer i udvalget og havde dermed ikke adgang til at komme med indstillinger eller politiske udtalelser i betænkningen. En oversigt over Folketingets sammensætning er optrykt i betænkningen. 4. Ændringsforslag med bemærkninger Æ n d r i n g s f o r s l a g Af justitsministeren, tiltrådt af et flertal (udvalget med und- tagelse af IA): Til titlen 1) Undertitlen udgår. [Korrektion af lovforslagets titel] 2) Som fodnote til lovens titel indsættes: »1) Loven gennemfører Europa-Parlamentets og Rådets di- rektiv 2016/680/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndig- heders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sank- tioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/ RIA, EU-Tidende 2016, nr. L 119, side 89.« [Indsættelse af EU-note] Til lovforslag nr. L 168 Folketinget 2016-17 AX019953 Af et mindretal (EL), tiltrådt af et mindretal (DF, ALT, RV og SF): Til § 1 3) I stk. 2 ændres »den behandling« til: »behandling«, og efter »og forsvarets efterretningstjenester« indsættes: »som led i aktiviteter, der falder uden for EU-retten«. [Indskrænkning af undtagelse af efterretningstjenesternes virksomhed fra lovens anvendelsesområde] Af et mindretal (EL), tiltrådt af et mindretal (ALT, RV og SF): Til § 7 4) Som stk. 2 indsættes: »Stk. 2. For så vidt angår behandling af personoplysninger om personer, som er under 15 år, skal den dataansvarlige ved fastsættelse af frister og proceduremæssige foranstalt- ninger efter stk. 1 i videst muligt omfang tage hensyn til børns særlige behov.« [Pligt til at tage hensyn til børns særlige behov i forbindelse med databehandling] Af et mindretal (EL), tiltrådt af et mindretal (DF, ALT, RV og SF): Til § 8 5) Ordene »så vidt muligt« udgår. [Præcisering af, at der i alle tilfælde skal ske sondring mel- lem behandling af personoplysninger af forskellige person- kategorier] 6) Som stk. 2 indsættes: »Stk. 2. For så vidt angår personer som nævnt i stk. 1, nr. 4, skal den dataansvarlige endvidere sondre mellem perso- ner, der ikke er mistænkt for strafbare handlinger, og andre parter.« [Krav om sondring mellem mistænkte og ikkemistænkte personer i forbindelse med kategorisering af registrerede personer] Til § 23 7) I stk. 1 og 2 indsættes efter »Fortegnelserne«: »skal væ- re tilgængelige for offentligheden og«. [Krav om offentliggørelse af fortegnelser over behandling af persondata] Til § 36 8) I stk. 1 indsættes efter »specifikke tilfælde«: »efter for- udgående godkendelse fra tilsynsmyndigheden«. [Krav om godkendelse af tilsynsmyndighed for dataover- førsler til tredjelande, uden at der foreligger en afgørelse fra Europa-Kommissionen] Ny paragraf 9) Efter § 55 indsættes som ny paragraf: »§ 01. Justitsministeren fremsætter forslag om revision af loven i folketingsåret 2019-20.« [Revisionsbestemmelse] B e m æ r k n i n g e r Til nr. 1 Det foreslås, at lovforslagets titel ændres, således at un- dertitlen »(Gennemførelse af direktiv om databeskyttelse på retshåndhævelsesområdet)« udgår. Ændringsforslaget er be- grundet i, at der ikke bør anvendes undertitler i forslag til nye hovedlove. Ændringen i lovforslagets titel medfører ik- ke indholdsmæssige ændringer i forhold til det fremsatte lovforslag. Til nr. 2 Det foreslås, at der indsættes en note til lovforslagets ti- tel, hvoraf det fremgår, at der med lovforslaget sker en gen- nemførelse af Europa-Parlamentets og Rådets direktiv 2016/680/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders be- handling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger el- ler fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets ramme- afgørelse 2008/977/RIA. Ændringsforslaget er begrundet i, at det er et EU-retligt krav, at medlemsstaterne ved en gen- nemførelse af et EU-direktiv henviser til det pågældende di- rektiv i de nationale gennemførelsesforskrifter. Tilføjelsen af titelnoten medfører ikke indholdsmæssige ændringer i forhold til det fremsatte lovforslag. Til nr. 3 Med lovforslaget skal loven finde anvendelse for politi- ets, anklagemyndighedens, herunder den militære anklage- myndigheds, kriminalforsorgens, Den Uafhængige Politikla- gemyndigheds og domstolenes behandling af personoplys- ninger, når behandlingen foretages med henblik på at fore- bygge, efterforske, afsløre eller retsforfølge strafbare hand- linger eller fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod eller forebygge trusler mod den offentlige sikkerhed. Politiets og Forsvarets efterretningstjeneste (PET og FE) er som udgangspunkt ikke omfattet af loven. Formu- leringen undtager hele institutionen og ikke kun behandlin- gen af persondata i forbindelse med sikringen af statens sik- kerhed. Undtagelsesbestemmelsen er dermed videre end di- rektivet om databeskyttelse på retshåndhævelsesområdet, som loven skal gennemføre i dansk ret. Det fremgår således af direktivets artikel 2 (3), at direktivet ikke gælder for be- handling af personoplysninger »under udøvelse af aktivite- ter, der falder uden for EU-retten.« Jf. direktivets artikel 1 (3), er direktivet et minimumsdirektiv, medlemsstaterne kan derfor kun fastsætte højere standarder end dem, der er fast- sat i direktivet. 2 Formålet med den foreslåede ændring er en præcisering og at foretage en funktionel frem for en institutionel af- grænsning og sikre, at kun de aktiviteter, der falder uden for EU-retten, er undtaget fra loven. Formuleringen tager højde for, at dele af PET’s aktiviteter allerede falder ind under EU-retten. Således er en af PET’s opgaver bekæmpelsen af terrorisme, jf. § 1, nr. 1, i lov om Politiets Efterretningstje- neste (PET), jf. lovbekendtgørelse nr. 231 af 7. marts 2017. Antiterrorpolitik er imidlertid et politikområde, der delvis falder ind under EU-retten, jf. Rådets rammeafgørelse af 13. juni 2002 om bekæmpelse af terrorisme (2002/475/RIA). Den foreslåede ændring vil sikre en minimumstandard for beskyttelsen af personoplysninger for alle aktiviteter, der falder under EU-retten. Da lovforslaget stadig indeholder undtagelsesbestemmelser vedrørende datasubjektets oplys- nings- og indsigtsret for at beskytte den offentlige eller sta- tens sikkerhed, vil ændringsforslaget stadig respektere de særlige forhold, PET og FE arbejder under. Til nr. 4 Med ændringen foreslås det at tydeliggøre børns særlige behov i forbindelse med behandling af persondata. Lovfor- slaget pålægger den dataansvarlige at fastsætte passende frister for sletningen af personoplysninger eller regelmæssig undersøgelse af behovet for lagringen af oplysningerne. Æn- dringsforslaget har til formål at pålægge den dataansvarlige en forpligtelse til at tage særligt hensyn til børn under 15 år, når der fastsattes frister for sletningen af data. Denne forpligtelse tager højde for, at børn ikke er fysisk eller mentalt modne og derfor har et særligt behov for be- skyttelse. At barnets tarv skal komme i første række, når of- fentlige myndigheder eller private udfører handlinger vedrø- rende børn, er som retligt princip desuden anerkendt i Den Europæiske Unions Charter om Grundlæggende Rettighe- der, jf. artikel 24 (2), eller i FN’s Konvention om Barnets Rettigheder, jf. artikel 3. I praksis kunne ændringsforslaget betyde, at den dataansvarlige foretager undersøgelser af be- hovet for lagringen af oplysningerne i en kortere periode, når data vedrører personer, der ikke er straffemyndige end- nu. Til nr. 5 Lovforslagets § 8 indfører et krav om at sondre mellem forskellige kategorier af personer, som der behandles perso- noplysninger om, eksempelvis mellem mistænkte og ikke- mistænkte. Forslaget som fremsat giver dog et stort råderum for den dataansvarlige, der kun er forpligtet til at sondre mellem de forskellige kategorier »når det er relevant« og »så vidt muligt«. At samle og behandle så få personlige oplysninger om så få personer som muligt er et grundprincip i databeskyttelses- retten (dataminimeringsprincippet). Formålet med ændrings- forslaget er at begrænse den dataansvarliges råderum i et vist omfang, således at der altid skal ske en sondring mellem kategorier af personer, når det er relevant. Hensigten med skærpelsen er især at garantere et højt beskyttelsesniveau af de persongrupper, som ikke er mistænkt for en strafbar handling, mens dataansvarlige er ikke pålagt den høje bu- reaukratiske byrde at skulle skelne mellem personkategorier i alle tilfælde af databehandlingen. Til nr. 6 Uskyldighedsformodningen er et grundlæggende rets- statsligt princip. Derfor er lovforslagets krav i § 8 om at son- dre mellem forskellige kategorier af personer, som der sam- les og behandles personoplysninger om en vigtig udvidelse af de bestående regler. Mens kategorierne i nr. 1-3 (mis- tænkte, dømte, ofre) er klart definerede, er kategori nr. 4 »andre parter i forbindelse med en strafbar handling« en ka- tegori med en bred rækkevide. Med ændringsforslaget sikres det, at der sker en klar son- dring mellem ikkemistænkte personer og personer, der po- tentielt kunne være mistænkte. Denne sondring sikrer ek- sempelvis, at den dataansvarlige har et informeret grundlag for at kunne fastsatte passende frister for sletningen af data, jf. lovforslagets § 7. Til nr. 7 Lovforslaget indfører en forpligtelse for den dataansvarli- ge og databehandleren til at føre en fortegnelse over alle ty- per af behandlingsaktiviteter, som de foretager. Fortegnel- serne tjener som dokumentation for, at databehandlingen er retmæssigt. Derimod afskaffer lovforslaget den generelle anmeldelsesforpligtelse til Datatilsynet og offentliggørelse af anmeldelser, jf. persondatalovens kapitel 12 og 13. Formålet med det foreslåede ændringsforslag er at gøre fortegnelserne offentlige uden at skabe en bureaukratisk be- lastning af Datatilsynet. Offentliggørelse er et nyttigt red- skab for den dataansvarlige til at leve op til kravet om at gø- re oplysninger om databehandling let tilgængelige, jf. lov- forslagets § 18, stk. 1, og sikrer, at datasubjekter kan gøre brug af deres indsigtsret. Desuden kan offentlige fortegnel- ser bidrage til at styrke borgeres tillid til den offentlige sek- tors behandling af personoplysninger. Da fortegnelserne indholdsmæssig svarer til de nuværende anmeldelser, bør der ikke opstå problemer f.eks. i forhold til fortroligheds- hensyn. Offentliggørelse vil samtidig spare tid for de rets- håndhævende myndigheder i forhold til behandling af an- modninger om aktindsigt i fortegnelserne efter offentlig- hedsloven. Til nr. 8 Lovforslaget skitserer betingelserne for overførslen af persondata til internationale organisationer og kompetente myndigheder i lande uden for EU. Lovforslagets § 36 er en undtagelsesparagraf, der oplister betingelserne for at overfø- re persondata til internationale organisationer og andre end kompetente myndigheder i tredjelande, hvor der ikke fore- ligger en afgørelse fra Europa-Kommissionen om, at tredje- landet eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau. Lovforslaget kan forstås således, at den dataansvarlige eller databehandleren kan overføre persondata til lande eller organisationer, der ikke sikrer et tilstrækkeligt beskyttelsesniveau, når bare databe- handleren eller den dataansvarlige selv har vurderet, at be- skyttelsesniveauet er tilstrækkeligt. Desuden udvider lovfor- 3 slagets § 36, nr. 3 og 4, undtagelsesbestemmelserne i en særlig høj grad ved at tillade overførsler til andre end kom- petente myndigheder, hvis den overførende myndighed »mener« at overførslen til den kompetente myndighed, der ellers skulle modtage persondata, er »ineffektiv eller uhen- sigtsmæssig«. Lovforslaget lægger ikke op til foranstaltnin- ger, der kan kontrollere, om dataoverførslen er strengt nød- vendig, og dermed sikre grundlæggende sikkerhedsgarantier for de individer, hvis personoplysninger bliver overført. Med ændringsforslaget lægges der derfor op til, at der skal foreligge godkendelse fra Datatilsynet i de tilfælde, hvor der ikke foreligger en international aftale om overførsel af personoplysninger til tredjelandet og den pågældende in- ternationale organisation. Kravet om godkendelsen skal sik- re, at overførsel til tredjelande og internationale organisatio- ner i tilfælde, hvor der ikke foreligger en afgørelse om til- strækkeligt beskyttelsesniveau, og til andre end kompetente myndigheder kun sker i enkeltstående og specifikke tilfælde, og at overførslen er strengt nødvendig for den overførende myndighed. Til nr. 9 Med ændringen foreslås det at indsætte en revisionsbe- stemmelse. Revisionen skal have særligt fokus på de områ- der, hvor lovforslaget indebærer større ændringer i forhold til den gældende persondatalov, navnlig afsnit III om den re- gistreredes rettigheder (§§ 13-19), afsnit IV om forpligtelser for den dataansvarlige og databehandleren (§§ 20-26), afsnit VI om databeskyttelsesrådgiveren (§§ 30 og 31) og afsnit VIII om tilsynsmyndighed. Loven om retshåndhævende myndigheders behandling af personoplysninger skal vedtages allerede inden den 1. maj 2017, mens selve forslaget til den nye persondatalov først forventes fremsat i efteråret 2017. Som hovedlov på person- databeskyttelsesområdet forventes persondataloven at præci- sere, hvordan nogle koncepter, der blev introduceret med EU’s databeskyttelsesreformpakke, såsom »databeskyttel- sesrådgiveren« eller »konsekvensanalyse«, vil udformes i praksis i Danmark. Det noteres derudover som begrundelse for ændringsforslaget, at alle erkender, at grundet ydre om- stændigheder har behandlingen af forslaget måttet gå ekstra- ordinært hurtigt, hvilket bl.a. har resulteret i en så kort hø- ringsfrist, at inviterede høringsparter har måttet afstå fra at afgive høringssvar. Peter Skaarup (DF) fmd. Peter Kofod Poulsen (DF) Susanne Eilersen (DF) Hans Kristian Skibby (DF) Dennis Flydtkjær (DF) Tilde Bork (DF) Preben Bang Henriksen (V) Jan E. Jørgensen (V) Britt Bager (V) Jakob Engel-Schmidt (V) Carl Holst (V) Michael Aastrup Jensen (V) Henrik Dahl (LA) Christina Egelund (LA) Naser Khader (KF) Simon Kollerup (S) Lars Aslan Rasmussen (S) Mette Reissmann (S) Mogens Jensen (S) nfmd. Rasmus Prehn (S) Trine Bramsen (S) Kaare Dybvad (S) Rune Lund (EL) Søren Søndergaard (EL) Carolina Magdalene Maier (ALT) Sofie Carsten Nielsen (RV) Zenia Stampe (RV) Lisbeth Bech Poulsen (SF) Aaja Chemnitz Larsen (IA) Tjóðveldi og Javnaðarflokkurin havde ikke medlemmer i udvalget. Socialdemokratiet (S) 46 Dansk Folkeparti (DF) 37 Venstre, Danmarks Liberale Parti (V) 34 Enhedslisten (EL) 14 Liberal Alliance (LA) 13 Alternativet (ALT) 10 Radikale Venstre (RV) 8 Socialistisk Folkeparti (SF) 7 Det Konservative Folkeparti (KF) 6 Inuit Ataqatigiit (IA) 1 Tjóðveldi (T) 1 Javnaðarflokkurin (JF) 1 Uden for folketingsgrupperne (UFG) 1 4 Bilag Oversigt over bilag vedrørende L 168 Bilagsnr. Titel 1 Tidsplan for udvalgets behandling af lovforslaget 2 Høringsoversigt og høringssvar, fra justitsministeren 3 1. udkast til betænkning 4 »Handout om retshåndhævelsesdirektivet«, fra Folketingets EU-kon- sulent 5 Ændringsforslag, fra justitsministeren 6 2. udkast til betænkning Oversigt over spørgsmål og svar vedrørende L 168 Spm.nr. Titel 1 Spm., om Danmark med den nye aftale fortsat, som hidtil, kan deltage i samarbejdet med henholdsvis det europæiske antiterrorcenter og Europols cyberkriminalitetscenter, til justitsministeren, og ministerens svar herpå 2 Spm. om ministerens kommentar til ændringsforslagene til L 168 stil- let af Enhedslisten, til justitsministeren 5