Politi og retsvæsen

Der gælder særlige regler for retshåndhævende myndigheders behandling af personoplysninger, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner. Reglerne findes i lov om retshåndhævende myndigheders behandling af personoplysninger (retshåndhævelsesloven). 

Retshåndhævende myndigheder er politi, anklagemyndighed, herunder den militære anklagemyndighed, kriminalforsorgen, Den Uafhængige Politiklagemyndighed og domstolene.

De særlige regler gælder kun for myndighedernes varetagelse af opgaver knyttet til det strafferetlige område. Det betyder, at reglerne gælder for bl.a. politiets behandling af oplysninger om mistænkte, sigtede og vidner i forbindelse med efterforskning af en konkret strafbar handling. Den behandling af personoplysninger, der sker ved politiets og anklagemyndighedens forberedelse og gennemførelse af straffesager, er også omfattet af reglerne. Også domstolenes behandling af personoplysninger i forbindelse med straffesagsbehandling er omfattet af de særlige regler. Tilsvarende for kriminalforsorgens aktiviter ved straffuldbyrdelse af domme. Reglerne gælder også for aktiviteter, som ikke knytter sig til en konkret straffesag, som f.eks. politiets aktiviteter i forbindelse generelle forebyggelsesindsatser, herunder færdselskontrol, og forebyggelsesindsatser målrettet mod enkeltpersoner, f.eks. exitprogrammer for personer med relation til rocker- og bandemiljøer.

For anden behandling af personoplysninger, som ikke knytter sig til myndighedens aktiviteter på det strafferetlige område, gælder databeskyttelsesforordningen og databeskyttelsesloven.

Datatilsynet fører tilsyn med enhver behandling af personoplysninger, som er omfattet af retshåndhævelsesloven.

Dog fører Domstolsstyrelsen tilsyn med behandling af personoplysninger, som foretages for domstolene, når domstolene ikke handler i deres egenskab af domstol. 

Læs mere om tilsynet med domstolenes behandling af personoplysninger på www.domstol.dk.

Hvornår må retshåndhævende myndigheder behandle personoplysninger?

Retshåndhævende myndigheder må kun behandle almindelige personoplysninger, når det er nødvendigt for at forebygge, afsløre eller retsforfølge strafbare handlinger. Myndighederne må desuden behandle personoplysninger, når det er nødvendigt for at fuldbyrde strafferetlige sanktioner.

Retshåndhævende myndigheder må som udgangspunkt ikke behandle følsomme oplysninger, medmindre det er strengt nødvendigt og sker af hensyn til de formål, som er nævnt ovenfor.

Myndighederne skal også leve op til en række grundlæggende databeskyttelsesretlige principper.

Reglerne for behandling af oplysninger fremgår af retshåndhævelseslovens afsnit II.

Krav til den dataansvarlige og databehandleren

For flere af kravene til den dataansvarlige og databehandleren er der sammenfald mellem reglerne i databeskyttelsesforordningen/databeskyttelsesloven og retshåndhævelsesloven.

Den dataansvarlige myndighed skal bl.a. udpege en databeskyttelsesrådgiver og føre en skriftlig fortegnelse over alle kategorier af behandlingsaktiviteter. Kravet om at føre en fortegnelse gælder også for eventuelle databehandlere. Læs mere om databeskyttelsesrådgiveren i retshåndhævelseslovens kapitel 14 og 15 og om kravene til indholdet af fortegnelsen i retshåndhævelseslovens § 23.

Tilsvarende svarer reglerne om behandlingssikkerhed efter retshåndhævelsesloven i praksis i vidt omfang til reglerne i databeskyttelsesforordningen. Dette indebærer, at den dataansvarlige myndighed skal træffe passende tekniske og organisatoriske foranstaltninger ud fra en risikobaseret tilgang. Hvis myndigheden overlader en behandling af oplysninger til en databehandler, skal myndigheden sikre sig, at databehandleren kan træffe fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Gennemførelse af en behandling ved en databehandler skal ske efter lov eller efter en skriftlig aftale mellem myndigheden og databehandleren. Der er ikke sammenfald mellem minimumskravene til indholdet af databehandleraftalen i retshåndhævelsesloven og databeskyttelsesforordningen. Kravene til indholdet af databehandleraftalen fremgår af retshåndhævelseslovens kapitel 9. 

Retshåndhævelsesloven indeholder ligesom databeskyttelsesforordningen krav om, at den dataansvarlige myndighed i visse tilfælde udarbejder en konsekvensanalyse forud for en behandling og foretager forudgående høring af Datatilsynet (eller Domstolsstyrelsen). Kriterierne for, hvornår myndigheden skal udarbejde en konsekvensanalyse, er de samme, som gælder efter databeskyttelsesforordningen.

Ved sikkerhedsbrud skal den dataansvarlige myndighed som udgangspunkt underrette Datatilsynet (eller Domstolsstyrelsen) uden unødig forsinkelse og senest 72 timer efter, at myndigheden er blevet bekendt med bruddet. I visse tilfælde skal myndigheden også underrette de registrerede om bruddet. Reglerne svarer til reglerne i databeskyttelsesforordningen.

De registreredes rettigheder

Retshåndhævelsesloven indeholder ligesom databeskyttelsesforordningen og databeskyttelsesloven regler om de registreredes rettigheder. Reglerne findes i lovens kapitel 4-8.

Den dataansvarlige myndighed har efter reglerne pligt til at stille en række oplysninger til rådighed for de registrerede, herunder oplysninger om myndighedens identitet og kontaktoplysninger. Oplysningerne kan stilles til rådighed på myndighedens hjemmeside eller i trykt materiale. Hvis det er nødvendigt for, at den registrerede kan varetage sine interesser, skal myndigheden også give den registrerede en meddelelse med yderligere oplysninger.

Pligten til at give meddelelse kan udsættes, begrænses eller undlades, hvis den registreredes interesse i at få oplysninger findes at burde vige for hensynet til private eller offentlige interesser, f.eks. af hensyn til en konkret igangværende efterforskning eller politiets arbejdsmetoder mv.

Den registrerede kan også anmode om indsigt i oplysninger, som myndigheden behandler om den pågældende. Myndigheden skal som udgangspunkt bekræfte over for den registrerede, om der behandles oplysninger om vedkommende. Hvis der behandles oplysninger, skal myndigheden give adgang til oplysningerne samt en meddelelse med en række oplysninger. Myndigheden kan give afslag på en anmodning om indsigt, hvis den registreredes interesse i at få meddelelse bør vige for hensynet til private eller offentlige interesser. Myndigheden kan også træffe afgørelse om, at retten til indsigt skal udsættes eller begrænses. Der kan også være tilfælde, hvor myndigheden ikke kan oplyse, om der behandles oplysninger om den registrerede.

Den registrerede har efter reglerne også ret til at anmode om, at oplysninger om vedkommende berigtiges eller slettes, eller at behandlingen af oplysninger begrænses. Hvis den registrerede har ret til berigtigelse, sletning eller begrænset behandling af personoplysninger, skal myndigheden underrette eventuelle modtagere af oplysningerne om dette.

Myndigheden skal besvare en anmodning skriftligt og snarest muligt og senest inden 4 uger efter modtagelsen.

Træffer myndigheden afgørelse om undlade, udsætte, begrænse eller nægte den registrerede sine rettigheder, kan den registrerede bede Datatilsynet (eller Domstolsstyrelsen) om at udøve rettighederne.

• Lovgivning

En række af reglerne i retshåndhævelsesloven er til dels sammenfaldende med reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Derfor kan man i et vist omfang skele til vejledningerne til databeskyttelsesforordningen og databeskyttelsesloven ved fortolkning af reglerne i retshåndhævelsesloven. Dog skal man være opmærksom på forskellene i ordlyden af bestemmelserne og baggrunden for reglerne.

Med et retsinformationssystem menes navnlig systemer, der er til rådighed for en bredere kreds af abonnenter for at sikre en ensartet retsanvendelse, altså eksterne retsinformationssystemer.

Databeskyttelseslovens § 9 indeholder særregler for behandling af personoplysninger i sådanne retsinformationssystemer.

En dataansvarlig kan behandle personoplysninger, hvis behandlingen alene sker med henblik på at føre retsinformationssystemer af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for førelsen af systemerne.

Et internt retsinformationssystem hos en myndighed eller virksomhed er derimod underlagt de almindelige behandlingsregler i databeskyttelsesforordningen og databeskyttelsesloven.

Oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1 (følsomme oplysninger) og artikel 10 (oplysninger om strafbare forhold) må efter databeskyttelseslovens § 9, stk. 1, behandles, hvis dette alene sker med henblik på at føre retsinformationssystemer af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for førelsen af systemerne.

Hvis personoplysninger behandles efter lovens § 9, stk. 1, må disse oplysninger ikke senere behandles i andet øjemed. Det samme gælder behandling af andre personoplysninger, hvis behandlingen alene foretages med henblik på at føre retsinformationssystemer.

Hvis en privat dataansvarlig behandler personoplysninger, og behandlingen udelukkende finder sted med henblik på at føre retsinformationssystemer, kræver det ifølge databeskyttelseslovens § 26, stk. 1, nr. 3, en forudgående tilladelse fra Datatilsynet.

Under Blanketter finder du den blanket, som du som privat dataansvarlig skal bruge ved indhentelse af tilladelse fra Datatilsynet.

Generelle vilkår

Datatilsynet vil typisk meddele følgende vilkår, når der gives tilladelse til et retsinformationssystem:

Vilkår for offentliggørelse af myndigheders afgørelser i retsinformationssystemer:

1. I afgørelser, som indeholder fortrolige oplysninger, skal de pågældende oplysninger anonymiseres i overensstemmelse med vilkår nr. 2, jf. dog vilkår nr. 3, før videregivelse må finde sted.

I alle afgørelser skal det endvidere sikres, at der ikke videregives oplysninger om tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold eller lignende for så vidt det er af væsentlig økonomisk betydning for den person eller virksomhed, oplysningen angår.

2. En eventuel anonymisering består i udeladelse af personnavne, præcise adresseangivelser og andre identifikationsoplysninger vedrørende personer. I stedet for de udeladte oplysninger kan indsættes neutrale betegnelser. Personnumres løbenummer udelades.

3. Afgørelserne kan forsynes med sagens journalnummer, sagslistenummer m.v.

4. Hvis en afgørelse har været behandlet af en højere instans, skal dette samt udfaldet heraf fremgå af gengivelsen af sagen.

5. Det skal kontrolleres, at der ikke er fejl i gengivelsen af afgørelserne. Fejl og lignende skal rettes eller slettes.

6. Der skal etableres sikkerhed for, at der i retsinformationssystemet ikke kan tilføjes data eller manipuleres med data.

Vilkår for offentliggørelse af domme:

1. Der skal ske anonymisering i følgende sager:

a. I offentligt anlagte straffesager, bortset fra straffesager vedrørende overtrædelse af markedsføringsloven og lignende, skal der ske anonymisering. Der skal ske tilsvarende anonymisering i sager om erstatning i anledning af strafferetlig forfølgning omfattet af 1. punktum.

b. I sager om separation, skilsmisse, forældremyndighed, bidragspligt eller samvær og i faderskabssager skal der ske anonymisering.

c. I sager om administrativ frihedsberøvelse, om prøvelse af tvangsindlæggelse på en psykiatrisk hospitalsafdeling, i værgemålssager og i sager om anbringelse af børn uden for hjemmet i henhold til serviceloven skal der ske anonymisering.

d. I fogedsager og sager om konkurser mod enkeltpersoner, i gældssaneringssager og ved ægtefællers fællesbodelinger skal der ske anonymisering.

e. I skattesager, hvor sagen indeholder oplysninger om den pågældendes samlede indtægts- eller formueforhold, skal der ske anonymisering.

f. I ansættelsessager om bortvisning, hvor bortvisningen eksempelvis er begrundet i strafbare eller lignende forhold hos den ansatte, der er egnet til at nedsætte den ansattes almindelige omdømme, skal der ske anonymisering.

g. I erstatningssager, hvor der findes beskrivelse af hændelsesforløb, der indeholder oplysninger om helbredsforhold eller andre personlige forhold, f.eks. diagnoser og sygdomsprognoser, skal der ske anonymisering.

h. I lejesager, der angår sager om ophævelse af lejemål på grund af lejerens adfærd eller lignende, skal der ske anonymisering.

i. I alle øvrige sager, der indeholder oplysninger af fortrolig karakter, skal der ske anonymisering.

j. Anonymiseringskravet gælder for såvel sagsparter som vidner og andre bipersoner, jf. dog 2. og 3. punktum. I de sager, der er nævnt i litra a-c, gælder anonymiseringskravet ikke polititjenestemænd, der har optaget rapport, sagkyndige og lignende vidner. I de sager, der er nævnt i litra d-i, gælder anonymiseringskravet kun for vidner og andre bipersoner, såfremt særlige hensyn til en af sagens parter, vidnet selv eller andre bipersoner tilsiger dette.

2. En anonymisering består i udeladelse af personnavne og præcise adresseangivelser samt andre identifikationsoplysninger vedrørende personer. I stedet for de udeladte oplysninger kan der indsættes neutrale betegnelser. Personnumres løbenummer udelades.

3. Domme kan forsynes med sagens journalnummer, sagslistenummer m.v.

4. Der skal etableres sikkerhed for, at der ikke kan tilføjes eller manipuleres med data, der befinder sig i retsinformationssystemerne.

5. Hvis en dom har været behandlet af en højere instans, skal dette samt udfaldet heraf fremgå af gengivelsen af sagen.

6. Det skal kontrolleres, at der ikke er fejl i gengivelsen af dommene. Fejl og lignende skal rettes eller slettes.

Vilkårene er supplerende i forhold til reglerne i databeskyttelsesforordningen og databeskyttelsesloven, og i et vist omfang er de udtryk for en præcisering af disse regler. Det er reglerne i databeskyttelsesforordningen og databeskyttelsesloven, som finder anvendelse i det omfang, der er tale om forhold, som ikke er reguleret i de ovenstående vilkår.

Databeskyttelsesforordningen og databeskyttelsesloven omfatter kun behandling af personoplysninger. De ovenstående vilkår er derfor kun gældende for behandling af personoplysninger i et retsinformationssystem.

Krav til anonymisering i retsinformationssystemer

Anonymisering i overensstemmelse med de ovenstående vilkår betyder ikke nødvendigvis, at der ikke længere er tale om personoplysninger, da oplysningerne som udgangspunkt fortsat vil være indirekte personhenførbare og dermed fortsat vil være personoplysninger, jf. databeskyttelsesforordningens artikel 4, nr. 1. Oplysningerne vil dermed som udgangspunkt fortsat være omfattet af de databeskyttelsesretlige regler.

Efter Datatilsynets vilkår skal der i afgørelser og domme ske anonymisering ved, at personnavne, præcise adresseangivelser og eventuelt andre identifikationsoplysninger vedrørende personer udelades. De udeladte oplysninger kan i stedet erstattes med neutrale betegnelser.

Det følger af Datatilsynets praksis vedrørende krav til anonymisering, at brug af personers initialer sammen med en meget fyldig og detaljeret gengivelse af oplysningerne i sagen giver en betydelig risiko for, at en bredere kreds af personer umiddelbart kan identificere den omtalte person (den registrerede). I hvert fald brugt i denne sammenhæng kan initialer således ikke siges at være neutrale betegnelser.

Hvis alle personnavne erstattes med neutrale betegnelser som f.eks. ”klager” og ”sagsbehandler”, ”A” og ”B” eller ”AA” og ”BB”, er der efter tilsynets opfattelse tale om en tilstrækkelig anonymisering.

Andre identifikationsoplysninger vedrørende personer, hvilket eksempelvis kan være en præcis fødselsdato, bør også udelades eller sløres.

Det er ligeledes Datatilsynets opfattelse, at stednavne samt navne på myndigheder og virksomheder, der indgår i sagsbeskrivelsen, så vidt muligt bør erstattes med neutrale betegnelser som f.eks. ”kommunen”, ”projektet”, ”fagforeningen” mv.

Lovgivning

Oversigt over anmeldte retsinformationssystemer