Beskyttelse af personoplysninger, som anvendes af politiet eller strafferetlige myndigheder (fra 2018)

RESUMÉ AF:

Direktiv (EU) 2016/680 — Beskyttelse af fysiske personer i forbindelse med politiets eller strafferetlige myndigheders behandling af personoplysninger og om fri udveksling heraf

HVAD ER FORMÅLET MED DIREKTIVET?

Direktiv (EU) 2016/680, retshåndhævelsesdirektivet, sikrer beskyttelse af personoplysninger tilhørende fysiske personer, som er involveret i straffesager, uanset om det er som vidne, offer eller mistænkt.
Det opretter en overordnet ramme for at sikre et højt niveau af databeskyttelse, idet der tages højde for den særlige karakter ved politiets og strafferetlige myndigheders arbejde.
Det bidrager til øget tillid og letter samarbejdet om at bekæmpe kriminalitet i Europa ved at harmonisere beskyttelse af personoplysninger hos retshåndhævende myndigheder i Den Europæiske Unions (EU) medlemsstater og Schengen-landene.
Direktivet er en del af EU’s databeskyttelsesreform, sammen med den generelle forordning om databeskyttelse (GDPR) (se resumé) og forordning (EU) 2018/1725 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i EU’s institutioner, organer, kontorer og agenturer (se resumé).

HOVEDPUNKTER

Direktivet stiller krav om, at personoplysninger indsamlet af retshåndhævende myndigheder:

skal behandles lovligt og rimeligt
skal indsamles til udtrykkeligt angivne og legitime formål og kun må behandles på en måde, der er forenelig med disse formål
skal være tilstrækkelige, relevante og ikke må omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de behandles
skal være korrekte og nødvendigt ajourførte
skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de behandles
skal behandles tilstrækkeligt sikkert, herunder beskyttelse mod uautoriseret eller ulovlig behandling, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

Tidsfrister

Medlemsstaterne skal fastsætte tidsfrister for sletning af personoplysninger eller for regelmæssig revision af behovet for opbevaring af personoplysninger.

Omfattede personer (»registrerede«)

Ifølge direktivet skal retshåndhævende myndigheder foretage en klar sondring mellem forskellige kategorier af registrerede, herunder:

personer, om hvem der er væsentlig grund til at tro, at de har begået eller vil begå en strafbar handling
personer, der er dømt for en strafbar handling
ofre for en strafbar handling eller personer, hvor der er anledning til at tro, at de kunne blive offer for en strafbar handling
andre parter i forbindelse med en strafbar handling, herunder mulige vidner.

Oplysninger til registrerede og indsigt i oplysninger

Fysiske personer har ret til at få visse oplysninger stillet til rådighed — og i visse tilfælde udleveret — af de kompetente retshåndhævende myndigheder, herunder:

navn og kontaktoplysninger for den kompetente myndighed, der fastlægger formål og metode for databehandling
formålet med behandling af oplysningerne
oplysning om retten til at indgive en klage til en tilsynsmyndighed og kontaktoplysningerne til tilsynsmyndigheden
oplysning om retten til at anmode om indsigt i og berigtigelse eller sletning af personoplysninger og til begrænsning af behandling af personoplysningerne.

Fysiske personer har ret til at få de kompetente myndigheders bekræftelse på, om deres personoplysninger behandles, og til at få adgang til disse oplysninger og til information om behandling af oplysningerne.

Sikkerhed og logning

De nationale myndigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau for de pågældende personoplysninger, der er afstemt efter risikoen. Ved automatisk databehandling skal en række foranstaltninger foretages, blandt andet sikring af:

at uautoriserede personer ikke kan få adgang til udstyr, der anvendes til databehandlingen
at der ikke kan forekomme uautoriseret læsning, kopiering, ændring eller sletning af datamedier*
at der ikke kan forekomme uautoriseret indlæsning af personoplysninger samt uautoriseret læsning, ændring eller sletning af opbevarede personoplysninger.

Nationale myndigheder skal foretage logning af oplysninger såsom dato og tidspunkt for adgang til personoplysninger samt navnene på dem, der har fremsøgt oplysningerne, eller som oplysningerne er blevet videregivet til. Logfilerne skal hovedsagelig bruges til at kontrollere behandlingens lovlighed, til at sikre behandlingens sikkerhed og integritet af behandlingen samt i forbindelse med straffesager.

Ophævelse

Direktivet erstattede rammeafgørelse 2008/977/RIA om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager med virkning fra den 6. maj 2018.

Revision

Europa-Kommissionen udsendte en meddelelse med titlen »Det videre forløb med tilpasning af den tidligere tredje søjle i EU-retten til databeskyttelsesreglerne« i juni 2020.

Tidsfristen for den første rapport om evaluering og revision af direktivet er den 5. maj 2022.

HVORNÅR GÆLDER DIREKTIVET FRA?

Det trådte i kraft den 5. maj 2016. Medlemsstaterne skulle gennemføre direktivet (indarbejde det i national lovgivning) inden den 6. maj 2018.

BAGGRUND

For yderligere oplysninger henvises til:

Reform af EU’s databeskyttelsesregler (Europa-Kommissionen)
EU’s databeskyttelsesregler (Europa-Kommissionen)
Rapport fra Kommissionen: Databeskyttelsesreglerne styrker borgerne og er klar til den digitale tidsalder — pressemeddelelse (Europa-Kommissionen)
Databeskyttelsesreform — memo (Europa-Kommissionen)
Beskyttelse af personoplysninger (Europa-Kommissionen).

VIGTIGE BEGREBER

Datamedier. Diske eller andet udstyr, hvorpå der lagres data.

HOVEDDOKUMENT

Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89-131).

Efterfølgende ændringer af forordning (EU) 2016/680 er blevet indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.

TILHØRENDE DOKUMENTER

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1-88).

Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39-98).

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EUT L 201 af 31.7.2002, s. 37-47).

Se den konsoliderede udgave.

seneste ajourføring 14.01.2022