Hvornår må retshåndhævende myndigheder behandle personoplysninger?
Retshåndhævende myndigheder må kun behandle almindelige personoplysninger, når det er nødvendigt for at forebygge, afsløre eller retsforfølge strafbare handlinger. Myndighederne må desuden behandle personoplysninger, når det er nødvendigt for at fuldbyrde strafferetlige sanktioner.
Retshåndhævende myndigheder må som udgangspunkt ikke behandle følsomme oplysninger, medmindre det er strengt nødvendigt og sker af hensyn til de formål, som er nævnt ovenfor.
Myndighederne skal også leve op til en række grundlæggende databeskyttelsesretlige principper.
Reglerne for behandling af oplysninger fremgår af retshåndhævelseslovens afsnit II.
Krav til den dataansvarlige og databehandleren
For flere af kravene til den dataansvarlige og databehandleren er der sammenfald mellem reglerne i databeskyttelsesforordningen/databeskyttelsesloven og retshåndhævelsesloven.
Den dataansvarlige myndighed skal bl.a. udpege en databeskyttelsesrådgiver og føre en skriftlig fortegnelse over alle kategorier af behandlingsaktiviteter. Kravet om at føre en fortegnelse gælder også for eventuelle databehandlere. Læs mere om databeskyttelsesrådgiveren i retshåndhævelseslovens kapitel 14 og 15 og om kravene til indholdet af fortegnelsen i retshåndhævelseslovens § 23.
Tilsvarende svarer reglerne om behandlingssikkerhed efter retshåndhævelsesloven i praksis i vidt omfang til reglerne i databeskyttelsesforordningen. Dette indebærer, at den dataansvarlige myndighed skal træffe passende tekniske og organisatoriske foranstaltninger ud fra en risikobaseret tilgang. Hvis myndigheden overlader en behandling af oplysninger til en databehandler, skal myndigheden sikre sig, at databehandleren kan træffe fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Gennemførelse af en behandling ved en databehandler skal ske efter lov eller efter en skriftlig aftale mellem myndigheden og databehandleren. Der er ikke sammenfald mellem minimumskravene til indholdet af databehandleraftalen i retshåndhævelsesloven og databeskyttelsesforordningen. Kravene til indholdet af databehandleraftalen fremgår af retshåndhævelseslovens kapitel 9.
Retshåndhævelsesloven indeholder ligesom databeskyttelsesforordningen krav om, at den dataansvarlige myndighed i visse tilfælde udarbejder en konsekvensanalyse forud for en behandling og foretager forudgående høring af Datatilsynet (eller Domstolsstyrelsen). Kriterierne for, hvornår myndigheden skal udarbejde en konsekvensanalyse, er de samme, som gælder efter databeskyttelsesforordningen.
Ved sikkerhedsbrud skal den dataansvarlige myndighed som udgangspunkt underrette Datatilsynet (eller Domstolsstyrelsen) uden unødig forsinkelse og senest 72 timer efter, at myndigheden er blevet bekendt med bruddet. I visse tilfælde skal myndigheden også underrette de registrerede om bruddet. Reglerne svarer til reglerne i databeskyttelsesforordningen.
De registreredes rettigheder
Retshåndhævelsesloven indeholder ligesom databeskyttelsesforordningen og databeskyttelsesloven regler om de registreredes rettigheder. Reglerne findes i lovens kapitel 4-8.
Den dataansvarlige myndighed har efter reglerne pligt til at stille en række oplysninger til rådighed for de registrerede, herunder oplysninger om myndighedens identitet og kontaktoplysninger. Oplysningerne kan stilles til rådighed på myndighedens hjemmeside eller i trykt materiale. Hvis det er nødvendigt for, at den registrerede kan varetage sine interesser, skal myndigheden også give den registrerede en meddelelse med yderligere oplysninger.
Pligten til at give meddelelse kan udsættes, begrænses eller undlades, hvis den registreredes interesse i at få oplysninger findes at burde vige for hensynet til private eller offentlige interesser, f.eks. af hensyn til en konkret igangværende efterforskning eller politiets arbejdsmetoder mv.
Den registrerede kan også anmode om indsigt i oplysninger, som myndigheden behandler om den pågældende. Myndigheden skal som udgangspunkt bekræfte over for den registrerede, om der behandles oplysninger om vedkommende. Hvis der behandles oplysninger, skal myndigheden give adgang til oplysningerne samt en meddelelse med en række oplysninger. Myndigheden kan give afslag på en anmodning om indsigt, hvis den registreredes interesse i at få meddelelse bør vige for hensynet til private eller offentlige interesser. Myndigheden kan også træffe afgørelse om, at retten til indsigt skal udsættes eller begrænses. Der kan også være tilfælde, hvor myndigheden ikke kan oplyse, om der behandles oplysninger om den registrerede.
Den registrerede har efter reglerne også ret til at anmode om, at oplysninger om vedkommende berigtiges eller slettes, eller at behandlingen af oplysninger begrænses. Hvis den registrerede har ret til berigtigelse, sletning eller begrænset behandling af personoplysninger, skal myndigheden underrette eventuelle modtagere af oplysningerne om dette.
Myndigheden skal besvare en anmodning skriftligt og snarest muligt og senest inden 4 uger efter modtagelsen.
Træffer myndigheden afgørelse om undlade, udsætte, begrænse eller nægte den registrerede sine rettigheder, kan den registrerede bede Datatilsynet (eller Domstolsstyrelsen) om at udøve rettighederne.