Udtalelse om rammeafgørelse om databeskyttelse på 3. søjle-området

Publiceret 17-03-2006
Historisk afgørelse

Journalnummer: 2006-844-0046

I breve af 30. januar og 2. februar 2006 har Justitsministeriet anmodet Datatilsynet om en udtalelse om ovennævnte forslag. Justitsministeriet har desuden fremsendt et grundnotat vedrørende forslaget.

Forslaget til rammeafgørelse har til formål at sikre beskyttelsen af personoplysninger, der behandles inden for rammerne af det politimæssige og strafferetlige samarbejde mellem medlemsstaterne.

Forslaget er begrundet i det initiativ til forbedring af udvekslingen af oplysninger på tværs mellem medlemsstaternes retshåndhævende myndigheder, som er under udformning, og som har ført til et forslag om gennemførelse af et tilgængelighedsprincip.

Tilgængelighedsprincippet er et af initiativerne i det såkaldte Haag-program om styrkelse af frihed, sikkerhed og retfærdighed i EU, som Det Europæiske Råd vedtog den 4. november 2004.

I Haag-programmet understreges det, at de forslag Kommissionen skal fremsætte til gennemførelse af tilgængelighedsprincippet, fuldt og helt skal opfylde de væsentligste krav på databeskyttelsesområdet.

Datatilsynet skal - efter at sagen har været behandlet på et møde i Datarådet – udtale følgende:

1. Udviklingen mod øget informationsudveksling

Datatilsynet har gennem de seneste år fået forelagt en række initiativer, som viser en klar udvikling i retning af øget informationsudveksling og intensiveret samarbejde mellem retshåndhævende myndigheder, navnlig inden for Europa.

Datatilsynet har tilkendegivet, at udviklingen hen imod øget informationsudveksling inden for det politimæssige og strafferetlige samarbejde i Europa aktualiserer behovet for gennemførelsen af et generelt og opdateret databeskyttelsesretligt instrument på dette område.

2. Den europæiske konference for datatilsynsmyndigheders udtalelse

Den beskrevne udvikling har også givet datatilsynsmyndighederne i Europa anledning til i fællesskab at udtrykke ønske om, at der etableres regler om databeskyttelse på dette område. De europæiske datatilsynsmyndigheder har den 24. januar 2006 - i forlængelse af deres konference - afgivet en udtalelse om forslaget til rammeafgørelse.

Udtalelsen, som den 3. februar 2006 er sendt til formanden for Europa-Parlamentet, formanden for LIBE Komiteen, Europa-Kommissionens næstformand, generaldirektøren for retlige og indre anliggender, formanden for JAI Council og formanden for artikel 36 Komiteen, vedlægges.

Datatilsynet henviser de europæiske datatilsyns udtalelse, hvortil tilsynet kan henholde sig.

Herudover skal Datatilsynet særligt bemærke følgende:

3. Anvendelsesområdet for reglerne

Datatilsynet ser et bindende databeskyttelsesregelsæt som en afgørende forudsætning for udviklingen mod øget informationsudveksling på tredje søjleområdet.

Hvis et sådant regelsæt effektivt skal sikre, at personoplysningerne altid er omgærdet med en tilstrækkelig beskyttelse, må reglerne efter Datatilsynets opfattelse omfatte enhver behandling af personoplysninger inden for retshåndhævelsen.

Som følge heraf finder Datatilsynet, at det som udgangspunkt ikke bør overlades til medlemsstaterne at bestemme, f.eks. hvilken beskyttelse der skal være af oplysningerne i manuelle sager.

4. Bemærkninger til specifikke artikler i forslaget

Af betragtning 7 i forslagets præambel fremgår, at en indbyrdes tilnærmelse af medlemsstaternes lovgivning ikke bør medføre en forringelse af den databeskyttelse, disse yder, men skal tværtimod have til formål at sikre et højt beskyttelsesniveau i EU.

Ifølge forslagets artikel 1, stk. 1, fastsættes der i rammeafgørelsen fælles standarder, der skal sikre beskyttelsen af fysiske personer for så vidt angår behandlingen af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde.

Det fremgår videre af artikel 1, stk. 2, at medlemsstaterne sikrer, at videregivelsen af personoplysninger til de kompetente myndigheder i andre medlemsstater hverken begrænses eller forbydes af årsager, der vedrører beskyttelsen af personoplysninger som fastsat i denne rammeafgørelse.

Den europæiske konference for datatilsynsmyndigheder har i sin udtalelse anført, at artikel 1, stk. 2, kun giver mening, hvis den foreslåede rammeafgørelse resulterer i en fuldstændig harmonisering af den databeskyttelseslovgivning, der regulerer det politimæssige og strafferetlige samarbejde i EU.

Datatilsynet kan hertil føje, at så længe der ikke er et sikkert grundlag, der garanterer, at oplysninger, der videregives til et andet land, i alle tilfælde er omgærdet med et meget højt niveau af databeskyttelse, bør et medlemsland efter tilsynets opfattelse kunne begrænse sin videregivelse af denne årsag.

Tilsynet finder derfor, at bestemmelsen i artikel 1, stk. 2, er for vidtgående og bør udgå.

5. Punktvise bemærkninger til forskellige bestemmelser

Idet Datatilsynet som nævnt kan henvise til udtalelsen fra Den europæiske konference for datatilsynsmyndigheder, skal tilsynet herefter alene punktvis fremhæve visse af de synspunkter, som er fremsat fra datatilsynsmyndighedernes side, og Datatilsynets bemærkninger i forlængelse heraf:

• De eksisterende principper og definitioner, navnlig de der findes i databeskyttelsesdirektivet, kan anvendes som udgangspunkt ved udformning af databeskyttelsesregler på tredje søjle. Samtidig medfører de særlige opgaver, som retshåndhævende myndigheder har, og karakteren af de oplysninger, der behandles, at det er nødvendigt at fastlægge en fælles standard og at sikre effektiv beskyttelse.

Datatilsynet skal hertil føje, at det efter tilsynets opfattelse er overordentligt vigtigt, at der skabes et fælles højt beskyttelsesniveau. Efter Datatilsynets opfattelse bør der således ikke ukritisk overføres regler fra første søjle-databeskyttelsesdirektivet.

• Forslaget skal erstatte de gældende databeskyttelsesregler for Schengen Informationssystemet. Dette må ikke føre til et lavere beskyttelsesniveau for dette system.

• Rammeafgørelsens artikel 6 åbner i stk. 2 flere muligheder for behandling af følsomme oplysninger, end hvad der gælder efter princip 2.4 i Europarådets Rekommendation nr. (87)15. Mulighederne for at behandle disse oplysninger bør være begrænset som efter politirekommendationen, dvs. at behandling af følsomme oplysninger i politimæssig sammenhæng kun må ske, hvis det er nødvendigt i forbindelse med en konkret efterforskning.

• Videregivelse til andre medlemsstaters kompetente myndigheder skal efter forslagets artikel 8 kunne ske, hvis det er nødvendigt for, at de myndigheder, der sender eller modtager oplysningerne, retmæssigt kan udføre deres opgave, og for at forebygge, efterforske, afsløre og retsforfølge straffelovsovertrædelser.

Datatilsynet skal henlede opmærksomheden på de europæiske tilsyns forslag til ændring af betingelserne for videregivelse, som går ud på, at bestemmelsen formuleres således:"medlemsstaterne skal sørge for, at personoplysninger, som indsamles og behandles af kompetente myndigheder kun videregives eller stilles til rådighed for kompetente myndigheder i andre medlemsstater hvis det er nødvendigt for, at de myndigheder, der sender eller modtager oplysningerne, retsmæssigt kan udføre deres opgave, og for at forebygge, efterforske, afsløre og retsforfølge konkrete straffelovsovertrædelser". 

• I artikel 10 i udkastet til rammeafgørelse findes regler om registrering og dokumentation. Bestemmelsen medfører krav om logning af al elektronisk videregivelse og modtagelse af personoplysninger.

Datatilsynet finder ligesom de øvrige europæiske datatilsyn og EDPS (Den europæiske tilsynsførende for databeskyttelse), at en effektiv kontrol med den korrekte behandling af personoplysninger ikke kun bør fokusere på transmissionens legalitet, men også på legaliteten af myndigheders adgang. Sidstnævnte gør det nødvendigt at logge eller dokumentere adgang til data.

Datatilsynet tilslutter sig således ønsket om registrering af enhver adgang til oplysningerne. En sådan registrering – eller logning – vil i Danmark skulle ske i en række tilfælde efter sikkerhedsbekendtgørelsen.

Det kan i den forbindelse oplyses, at Datatilsynet i forbindelse med forskellige tidligere initiativer på tredje søjle netop har understreget vigtigheden af, at man fra dansk side arbejder for at få bestemmelser om logning med i retsgrundlaget.

• Artikel 11 i udkastet til rammeafgørelse omhandler yderligere behandling af personoplysninger, der er modtaget fra eller stillet til rådighed af en anden medlemsstats kompetente myndighed.

Datatilsynet er enig med de øvrige europæiske tilsyn i, at yderligere brug af personoplysninger principielt skal være begrænset til det oprindelige formål, hvortil oplysningerne er indsamlet.

Forslaget i artikel 11, stk. 1, litra b, der muliggør yderligere behandling til en række formål, giver Datatilsynet anledning til betænkeligheder, og tilsynet må stille spørgsmål ved effekten af den mekanisme, som findes i artikel 11, stk. 2, hvorefter der skal være samtykke fra den myndighed, der har videregivet oplysningerne eller stillet dem til rådighed.

Datatilsynet ville foretrække, at artikel 11, stk. 1, litra b, helt udgik, således at der ved behov for at anvende oplysninger til et andet formål, skal ske fornyet indhentelse ved kilden. Dette skønnes tillige at ville være en bedre løsning til sikring af datakvalitet og aktualitet af de data, der anvendes. Herudover kan Datatilsynet henvise til den Europæiske Datatilsynskonferences forslag til udformning af restriktioner for yderligere brug.

• Artikel 15 i udkastet muliggør overførsel til tredjelande eller internationale organer. Bestemmelsen, der udelukkende vedrører videregivelse af oplysninger, der er modtaget fra eller stillet til rådighed af en anden medlemsstats kompetente myndigheder, indeholder en række krav, som skal være opfyldt.

I lighed med de øvrige europæiske datatilsyn finder Datatilsynet, at reglen om overførsel af data til tredjelande bør omfatte alle overførsler, uanset hvorfra oplysningerne stammer.

• For så vidt angår datasikkerhed, indeholder artikel 24, stk. 1, 1. led, krav om, at medlemsstaterne fastsætter betingelser om, at den registeransvarlige skal gennemføre hensigtsmæssige tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger mod uagtsomt eller ulovligt at blive destrueret eller ved et uheld at gå tabt, blive ændret, blive videregivet eller givet adgang til uden bemyndigelse hertil, navnlig når databehandlingen involverer overførsel via et netværk eller rådighedsstillelse af oplysninger ved at give direkte elektronisk adgang, og mod alle andre ulovlige former for databehandling, idet der tages hensyn til navnlig risiciene i forbindelse med behandlingen og arten af de oplysninger, der skal beskyttes.

Det er samtidig anført i artikel 24, stk. 1, 2. led, at disse foranstaltninger under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, skal tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes. Foranstaltningerne vurderes som værende nødvendige, hvis den dermed forbundne indsats står i passende forhold til det tilstræbte sikkerhedsniveau.

Datatilsynet kan tilslutte sig de øvrige europæiske datatilsyns bekymring om 2. led og ønsket om, at denne sætning udgår.

• Af forslagets artikel 31 fremgår, at der nedsættes en arbejdsgruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser. Arbejdsgruppen skal have rådgivende status og skal kunne handle uafhængigt.

Det er Datatilsynets opfattelse, at udviklingen mod øget informationsudveksling og intensiveret samarbejde mellem retshåndhævende myndigheder skaber et tilsvarende behov for samarbejde mellem de nationale tilsynsmyndigheder og eventuelt den Europæiske Tilsynsførende for Databeskyttelse. Det er Datatilsynets opfattelse, at disse uafhængige tilsynsmyndigheder har brug for et samarbejdsforum, hvor der bl.a. kan drøftes og iværksættes fælles tilsynsprojekter. Tilsvarende aktiviteter foregår i dag i de fælles tilsynsmyndigheder for Europol og Schengen.

Med henblik på at sikre gruppen den fornødne uafhængighed vil Datatilsynet foretrække, at gruppen får eget sekretariat.

6. Datatilsynets opgaver

Det fremgår af betragtning 16 i forslagets præambel, at oprettelsen af nationale tilsynsmyndigheder, der udfører deres opgaver helt uafhængigt, indgår som en væsentlig del af beskyttelsen af personoplysninger, der behandles i forbindelse med det politimæssige og retlige samarbejde mellem medlemsstaterne.

Af betragtning 17 fremgår, at disse myndigheder bør tildeles de fornødne beføjelser til at varetage disse opgaver, herunder undersøgelses- og interventionsbeføjelser, navnlig når det drejer sig om klager fra enkeltpersoner, samt beføjelse til at indbringe sager for en retsinstans. Myndighederne bør bidrage til at tilvejebringe gennemsigtighed i de databehandlinger, der udføres i den medlemsstat, hvorunder de henhører.

Endelig fremgår det af forslagets artikel 30, at der skal udpeges en tilsynsmyndighed, der har til opgave at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af denne rammeafgørelse. Bestemmelsen fastsætter flere regler for tilsynsmyndighedens opgaver og beføjelser.

Datatilsynet formoder, at dele af, hvis ikke alle, disse opgaver vil skulle varetages af Datatilsynet. En sådan forøgelse af tilsynets opgaver vil nødvendiggøre, at tilsynet får tilført flere ressourcer.