30.12.2008   

DA

Den Europæiske Unions Tidende

L 350/60

(1)

Den Europæiske Union har sat sig som målsætning at opretholde og udvikle et område med frihed, sikkerhed og retfærdighed, inden for hvilket fælles handling mellem medlemsstaterne inden for politisamarbejde og retligt samarbejde i kriminalsager skal tilvejebringe et højt tryghedsniveau.

(2)

Fælles handling vedrørende politisamarbejde i henhold til artikel 30, stk. 1, litra b), i traktaten om Den Europæiske Union, og fælles handling vedrørende retligt samarbejde i kriminalsager i henhold til artikel 31, stk. 1, litra a), i traktaten om Den Europæiske Union indebærer, at det er nødvendigt at behandle relevante oplysninger, som bør være omfattet af passende bestemmelser om beskyttelse af personoplysninger.

(3)

Retsforskrifter, der falder ind under anvendelsesområdet for afsnit VI i traktaten om Den Europæiske Union, bør styrke politisamarbejdet og det retlige samarbejde i kriminalsager for så vidt angår såvel effektiviteten af dette samarbejde som dets legitimitet og overensstemmelse med de grundlæggende rettigheder, navnlig retten til privatlivets fred og til beskyttelse af personoplysninger. Fælles standarder for behandling og beskyttelse af personoplysninger, der behandles med henblik på forebyggelse og bekæmpelse af kriminalitet, kan bidrage til at nå begge mål.

(4)

Haagprogrammet om styrkelse af frihed, sikkerhed og retfærdighed i Den Europæiske Union, som Det Europæiske Råd vedtog den 4. november 2004, understregede behovet for en nyskabende tilgang til udvekslingen på tværs af grænserne af oplysninger vedrørende retshåndhævelse under streng overholdelse af en række væsentlige krav på databeskyttelsesområdet og opfordrede Kommissionen til senest ved udgangen af 2005 at fremsætte forslag i den henseende. Dette udmøntede sig i Rådets og Kommissionens handlingsplan om gennemførelse af Haagprogrammet om styrkelse af frihed, sikkerhed og retfærdighed i Den Europæiske Union (2).

(5)

Udvekslingen af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager, navnlig i medfør af princippet om oplysningernes tilgængelighed som fastsat i Haagprogrammet, bør være omfattet af klare regler, der øger den gensidige tillid mellem de kompetente myndigheder og sikrer, at de relevante oplysninger beskyttes på en måde, der udelukker enhver forskelsbehandling af dette samarbejde mellem medlemsstaterne og samtidig respekterer fysiske personers grundlæggende rettigheder fuldt ud. De eksisterende instrumenter på europæisk plan er ikke tilstrækkelige. Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (3) finder ikke anvendelse på behandlingen af personoplysninger i forbindelse med en aktivitet, der falder uden for anvendelsesområdet for fællesskabsretten, såsom de aktiviteter, der er omhandlet i afsnit VI i traktaten om Den Europæiske Union, og under ingen omstændigheder på behandling i forbindelse med den offentlige sikkerhed, forsvaret, statens sikkerhed og statens aktiviteter på det strafferetlige område.

(6)

Denne rammeafgørelse finder kun anvendelse på oplysninger, der er indsamlet eller behandlet af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner. Rammeafgørelsen bør overlade det til medlemsstaterne at fastsætte mere præcise bestemmelser på nationalt plan om, hvilke andre formål der skal anses for uforenelige med det formål, hvortil oplysningerne oprindeligt er indsamlet. Generelt bør viderebehandling til historiske, statistiske eller videnskabelige formål ikke betragtes som uforenelig med det oprindelige formål med behandlingen.

(7)

Denne rammeafgørelses anvendelsesområde er begrænset til behandling af personoplysninger, der videregives eller stilles til rådighed mellem medlemsstater. Denne begrænsning bør på ingen måde berøre EU’s kompetence til at vedtage retsakter om indsamling og behandling af personoplysninger på nationalt plan eller det formålstjenlige i EU’s mulighed herfor i fremtiden.

(8)

For at fremme udvekslingen af oplysninger i EU agter medlemsstaterne at sikre, at den standard for databeskyttelse, der anvendes i behandlingen af oplysninger på nationalt plan, stemmer overens med standarden i denne rammeafgørelse. For så vidt angår national databeskyttelse er denne rammeafgørelse ikke til hinder for, at medlemsstaterne kan yde sikkerhedsgarantier for beskyttelse af personoplysninger, der er mere omfattende end dem, der er fastsat i denne rammeafgørelse.

(9)

Denne rammeafgørelse bør ikke finde anvendelse på personoplysninger, som en medlemsstat har opnået inden for denne rammeafgørelses anvendelsesområde, og som stammer fra denne medlemsstat.

(10)

En indbyrdes tilnærmelse af medlemsstaternes lovgivninger bør ikke føre til en forringelse af den databeskyttelse, disse yder, men bør tværtimod have til formål at sikre et højt beskyttelsesniveau i EU.

(11)

Det er nødvendigt at specificere målene for databeskyttelsen i forbindelse med politimæssige og retlige aktiviteter og fastsætte bestemmelser om det lovlige i at behandle personoplysninger for at sikre, at oplysninger, der måtte blive udvekslet, er blevet behandlet på lovlig vis og i overensstemmelse med de grundlæggende principper vedrørende datakvalitet. Samtidig bør politiets, toldvæsenets samt retslige og andre kompetente myndigheders legitime aktiviteter på ingen måde bringes i fare.

(12)

Princippet om oplysningernes rigtighed skal anvendes på en måde, så der tages hensyn til den pågældende behandlings art og formål. Eksempelvis er oplysninger navnlig i retssager baseret på en subjektiv opfattelse af enkeltpersoner, og er i visse tilfælde helt umulige at kontrollere. Kravet om oplysningernes rigtighed kan derfor ikke vedrøre et udsagns rigtighed, men blot det forhold, at der er fremsat et specifikt udsagn.

(13)

Det bør kun være tilladt at arkivere oplysninger i en særskilt samling, hvis oplysningerne ikke længere er nødvendige for og ikke længere anvendes til forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner. Det bør desuden være tilladt at arkivere oplysninger i en særskilt samling, hvis de arkiverede oplysninger lagres i en database med andre oplysninger på en sådan måde, at de ikke længere kan anvendes til forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner. Hvor længe det er passende at arkivere oplysningerne bør afhænge af formålene med arkiveringen og de registreredes legitime interesser. I forbindelse med arkivering til historiske formål kan der overvejes en meget lang arkiveringsperiode.

(14)

Oplysningerne kan også slettes ved at destruere datamediet.

(15)

Hvad angår urigtige, ufuldstændige eller ikke-ajourførte oplysninger, som videregives til eller stilles til rådighed for en anden medlemsstat og viderebehandles af kvasiretlige myndigheder, dvs. myndigheder med beføjelser til at træffe retligt bindende afgørelser, bør disse berigtiges, slettes eller blokeres i henhold til national ret.

(16)

For at sikre et højt beskyttelsesniveau for enkeltpersoners personoplysninger kræves der fælles bestemmelser for vurdering af lovligheden og kvaliteten af oplysninger, der behandles af de kompetente myndigheder i andre medlemsstater.

(17)

Det er hensigtsmæssigt på EU-plan at fastsætte de betingelser, under hvilke medlemsstaternes kompetente myndigheder bør have lov til at videregive personoplysninger modtaget fra andre medlemsstater til og stille personoplysninger til rådighed for myndigheder og private i medlemsstaterne. I mange tilfælde er videregivelse af personoplysninger fra retsvæsenet, politiet eller toldvæsenet til private nødvendig af hensyn til retsforfølgning af strafbare handlinger eller afværgelse af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed og forebyggelse af alvorlige krænkelser af enkeltpersoners rettigheder, f.eks. ved at foretage indberetninger om forfalskninger af værdipapirer til banker og kreditinstitutter, eller for så vidt angår køretøjskriminalitet ved at videregive personoplysninger til forsikringsselskaber for at forebygge ulovlig handel med stjålne motorkøretøjer eller forbedre betingelserne for at finde stjålne motorkøretøjer i udlandet. Dette er ikke ensbetydende med overførsel af politimæssige eller retlige opgaver til private.

(18)

Reglerne i denne rammeafgørelse for videregivelse af personoplysninger fra retsvæsenet, politiet eller toldvæsenet til private bør ikke vedrører videregivelse af oplysninger til private (f.eks. forsvarsadvokater og ofre) som led i straffesager.

(19)

Den yderligere behandling af personoplysninger, der er modtaget fra eller stillet til rådighed af den kompetente myndighed i en anden medlemsstat, især yderligere videregivelse eller tilrådighedsstillelse af sådanne oplysninger, bør være omfattet af fælles regler på EU-plan.

(20)

Når personoplysninger kan viderebehandles, efter at den medlemsstat, som oplysningerne er modtaget fra, har givet sit samtykke, bør hver medlemsstat kunne fastsætte de nærmere regler for en sådant samtykke, herunder ved f.eks. at give sit generelle samtykke for så vidt angår bestemte kategorier af oplysninger eller bestemte lande.

(21)

Når personoplysninger kan viderebehandles med henblik på administrative procedurer, omfatter disse procedurer også aktiviteter, der udføres af regulerings- eller tilsynsorganer.

(22)

Politiets, toldvæsenets samt retslige og andre kompetente myndigheders legitime aktiviteter kan kræve, at der sendes oplysninger til myndigheder i tredjestater eller internationale organer, der har forpligtelser med hensyn til forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner.

(23)

Når personoplysninger overføres fra en medlemsstat til tredjestater eller internationale organer, bør disse oplysninger principielt være sikret en passende grad af beskyttelse.

(24)

Videregivelse af personoplysninger fra en medlemsstat til tredjestater eller internationale organer bør i princippet forudsætte, at den medlemsstat, hvor oplysningerne er indsamlet, har givet sin godkendelse til at videregive disse. Hver medlemsstat bør kunne fastsætte de nærmere regler for en sådan godkendelse, herunder ved f.eks. at give sin generelle godkendelse for så vidt angår bestemte kategorier af oplysninger eller bestemte tredjestater.

(25)

Hvis arten af truslen mod en medlemsstats eller en tredjestats offentlige sikkerhed er så umiddelbar, at det er umuligt at indhente forhåndsgodkendelse i tide, bør den kompetente myndighed af hensyn til et effektivt retshåndhævelsessamarbejde kunne videregive de relevante personoplysninger til den pågældende tredjestat uden en sådan forhåndsgodkendelse. Det samme kan også være tilfældet, hvis andre af en medlemsstats væsentlige interesser af samme betydning står på spil, f.eks. hvis en medlemsstats kritiske infrastruktur er genstand for en overhængende og alvorlig trussel, eller hvis en medlemsstats finansielle system kunne blive udsat for alvorlig forstyrrelse.

(26)

Det kan være nødvendigt at underrette den registrerede om behandlingen af oplysningerne om vedkommende, navnlig i tilfælde af særlig alvorlige indgreb i den pågældendes rettigheder som følge af foranstaltninger vedrørende hemmelig indsamling af oplysninger, for at give den registrerede mulighed for effektiv retsbeskyttelse.

(27)

Medlemsstaterne bør sikre, at den registrerede underrettes om, at indsamling, behandling eller overførsel af personoplysninger til en anden medlemsstat kan finde sted eller finder sted med henblik på at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner. De nærmere bestemmelser for den registreredes ret til at blive informeret og undtagelserne herfra bør fastlægges i den nationale lovgivning. Dette kan ske generelt, f.eks. gennem lovgivning eller ved offentliggørelse af en oversigt over behandlingerne.

(28)

For at sikre beskyttelsen af personoplysninger uden at bringe formålet med strafferetlige efterforskninger i fare er det nødvendigt at definere den registreredes rettigheder.

(29)

Nogle medlemsstater har fastlagt bestemmelser om aktindsigt for den registrerede i kriminalsager via en ordning, hvor den nationale tilsynsmyndighed i stedet for den registrerede har uhindret adgang til alle personoplysninger og også kan berigtige, slette eller ajourføre urigtige oplysninger. I sådanne tilfælde med indirekte adgang kan den nationale lovgivning i disse medlemsstater bestemme, at den nationale tilsynsmyndighed kun skal meddele den registrerede, at alle nødvendige kontroller er foretaget. Disse medlemsstater åbner også mulighed for, at den registrerede kan få direkte adgang i særlige tilfælde, f.eks. adgang til strafferegistret, for at fremskaffe udskrifter fra egne strafferegistre eller adgang til politiets afhøringsrapport.

(30)

Det er hensigtsmæssigt at fastsætte fælles regler for fortrolighed og sikkerhed i forbindelse med behandlingen, for erstatningsansvar og sanktioner, hvis de kompetente myndigheder anvender oplysningerne ulovligt, og for de retsmidler, der står til rådighed for den registrerede. Det er imidlertid op til den enkelte medlemsstat at fastlægge, hvordan dens erstatningsbestemmelser skal udformes, og hvilke sanktioner der skal finde anvendelse ved overtrædelser af de nationale databeskyttelsesbestemmelser.

(31)

Denne rammeafgørelse giver mulighed for, at der ved gennemførelsen af de principper, der er fastsat heri, kan tages hensyn til princippet om aktindsigt i offentlige dokumenter.

(32)

Når det er nødvendigt at beskytte personoplysninger i forbindelse med behandling, der i kraft af omfang eller karakter indebærer særlige risici for den registreredes grundlæggende rettigheder og frihedsrettigheder, f.eks. behandling ved hjælp af nye teknologier, mekanismer eller procedurer, er det hensigtsmæssigt at sikre, at de kompetente nationale tilsynsmyndigheder konsulteres forud for oprettelsen af registre, som sigter mod behandlingen af disse oplysninger.

(33)

Oprettelsen i medlemsstaterne af tilsynsmyndigheder, der udfører deres opgaver helt uafhængigt, indgår som en væsentlig del af beskyttelsen af personoplysninger, der behandles i forbindelse med politisamarbejde og retligt samarbejde mellem medlemsstaterne.

(34)

De tilsynsmyndigheder, der allerede er oprettet i medlemsstaterne i henhold til direktiv 95/46/EF, bør også kunne påtage sig ansvaret for de opgaver, der skal udføres af de nationale tilsynsmyndigheder, der oprettes i henhold til denne rammeafgørelse.

(35)

Disse tilsynsmyndigheder bør have de fornødne beføjelser til at varetage deres opgaver, herunder efterforsknings- og interventionsbeføjelser, navnlig i tilfælde af klager fra enkeltpersoner, eller beføjelse til at indbringe sager for en retsinstans. De bør bidrage til at tilvejebringe gennemsigtighed i databehandling, der udføres i de medlemsstater, de henhører under. Disse myndigheders beføjelser bør imidlertid ikke gribe ind i de specifikke regler, der er fastsat for straffesager eller i retternes uafhængighed.

(36)

I artikel 47 i traktaten om Den Europæiske Union fastsættes det, at intet heri skal berøre traktaterne om oprettelse af De Europæiske Fællesskaber og senere traktater og akter om ændring eller supplering af disse. Denne rammeafgørelse berører følgelig ikke beskyttelsen af personoplysninger i medfør af fællesskabsretten, navnlig som fastsat i direktiv 95/46/EF, Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (4) og Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (5).

(37)

Denne rammeafgørelse berører ikke bestemmelserne vedrørende ulovlig adgang til oplysninger i Rådets rammeafgørelse 2005/222/RIA af 24. februar 2005 om angreb på informationssystemer (6).

(38)

Denne rammeafgørelse berører ikke gældende forpligtelser, der påhviler medlemsstaterne eller EU i henhold til bilaterale og/eller multilaterale aftaler, der er indgået med tredjestater. Fremtidige aftaler bør være i overensstemmelse med reglerne om udveksling med tredjestater.

(39)

Adskillige retsakter vedtaget på grundlag af afsnit VI i traktaten om Den Europæiske Union indeholder specifikke bestemmelser om beskyttelse af personoplysninger, der udveksles eller på anden måde behandles i henhold til disse retsakter. I nogle tilfælde udgør disse bestemmelser et komplet og konsistent regelkompleks, der omfatter alle relevante aspekter af databeskyttelse (principper vedrørende datakvalitet, regler vedrørende datasikkerhed, regulering af de registreredes rettigheder og sikkerhedsgarantier samt organisering af tilsyn og ansvar), og de regulerer disse forhold mere detaljeret end denne rammeafgørelse. Den relevante række af databeskyttelsesbestemmelser i disse retsakter, navnlig bestemmelserne om Europols, Eurojusts, Schengeninformationssystemets (SIS) og toldinformationssystemets (CIS) funktionsmåde samt de bestemmelse, der giver medlemsstaternes myndigheder direkte adgang til datasystemer i visse andre medlemsstater, bør ikke berøres af denne rammeafgørelse. Det samme gælder databeskyttelsesbestemmelserne om automatisk videregivelse mellem medlemsstater af DNA-profiler, fingeraftryksoplysninger og nationale registreringsdata for motorkøretøjer i henhold til Rådets afgørelse 2008/615/RIA af 23. juni 2008 om intensivering af det grænseoverskridende samarbejde, navnlig om bekæmpelse af terrorisme og grænseoverskridende kriminalitet (7).

(40)

I andre tilfælde er anvendelsesområdet for bestemmelserne om databeskyttelse i retsakter vedtaget på grundlag af afsnit VI i traktaten om Den Europæiske Union mere begrænset. Ofte stilles der i disse retsakter specifikke betingelser til den medlemsstat, der modtager personoplysninger fra andre medlemsstater med hensyn til det formål, hvortil den kan anvende de pågældende oplysninger, mens der med hensyn til andre aspekter af databeskyttelse henvises til Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger af 28. januar 1981 eller til national lovgivning. I det omfang bestemmelserne i de retsakter, der opstiller betingelser for de modtagende medlemsstater med hensyn til anvendelse eller yderligere videregivelse af personoplysninger, er mere restriktive end de tilsvarende bestemmelser i denne rammeafgørelse, bør førstnævnte bestemmelser også fortsat gælde. For så vidt angår alle andre aspekter bør reglerne i denne rammeafgørelse imidlertid finde anvendelse.

(41)

Denne rammeafgørelse berører ikke Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med databehandling af personoplysninger, tillægsprotokollen til denne konvention af 8. november 2001 eller Europarådets konventioner om retligt samarbejde i kriminalsager.

(42)

Målet for denne rammeafgørelse, nemlig fastsættelse af fælles regler for beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan derfor på grund af den påtænkte handlings omfang og virkninger bedre nås på EU-plan; EU kan derfor træffe foranstaltninger i overensstemmelse med subsidiaritetsprincippet, jf. artikel 5 i traktaten om oprettelse af Det Europæiske Fællesskab og artikel 2 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. artikel 5 i traktaten om oprettelse af Det Europæiske Fællesskab, går denne rammeafgørelse ikke ud over, hvad der er nødvendigt for at nå dette mål.

(43)

Det Forenede Kongerige deltager i denne rammeafgørelse i overensstemmelse med artikel 5 i protokollen om integration af Schengenreglerne i Den Europæiske Union, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om oprettelse af Det Europæiske Fællesskab, og artikel 8, stk. 2, i Rådets afgørelse 2000/365/EF af 29. maj 2000 om anmodningen fra Det Forenede Kongerige Storbritannien og Nordirland om at deltage i visse bestemmelser i Schengenreglerne (8).

(44)

Irland deltager i denne rammeafgørelse i overensstemmelse med artikel 5 i protokollen om integration af Schengenreglerne i Den Europæiske Union, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om oprettelse af Det Europæiske Fællesskab, og artikel 6, stk. 2, i Rådets afgørelse 2002/192/EF af 28. februar 2002 om anmodningen fra Irland om at deltage i visse bestemmelser i Schengenreglerne (9).

(45)

For Islands og Norges vedkommende er denne rammeafgørelse et led i udviklingen af de bestemmelser i Schengenreglerne, jf. aftalen indgået mellem Rådet for Den Europæiske Union og Republikken Island og Kongeriget Norge om sidstnævntes associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (10), der falder ind under det område, der er nævnt i artikel 1, litra H og I, i Rådets afgørelse 1999/437/EF om visse gennemførelsesbestemmelser til nævnte aftale (11).

(46)

For Schweiz’ vedkommende er denne rammeafgørelse et led i udviklingen af de bestemmelser i Schengenreglerne, jf. aftalen indgået mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (12), der falder ind under det område, der er nævnt i artikel 1, litra H og I, i afgørelse 1999/437/EF sammenholdt med artikel 3, i Rådets afgørelse 2008/149/RIA (13) om indgåelse af nævnte aftale på Den Europæiske Unions og Det Europæiske Fællesskabs vegne.

(47)

For Liechtensteins vedkommende er denne beslutning et led i udviklingen af de bestemmelser i Schengenreglerne, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne, der falder ind under det område, der er nævnt i artikel 1, litra H og I, i afgørelse 1999/437/EF sammenholdt med artikel 3 i Rådets afgørelse 2008/262/EF (14) om undertegnelse af nævnte protokol på Den Europæiske Unions vegne.

(48)

Denne rammeafgørelse respekterer de grundlæggende rettigheder og de principper, der navnlig anerkendes i Den Europæiske Unions charter om grundlæggende rettigheder (15). Denne rammeafgørelse tager sigte på at sikre fuld respekt for retten til privatlivets fred og beskyttelse af personoplysninger, jf. artikel 7 og 8 i charteret —

a)

videregives eller er videregivet eller stilles til rådighed eller er stillet til rådighed mellem medlemsstater

b)

videregives eller er videregivet eller stilles til rådighed eller er stillet til rådighed af medlemsstater for myndigheder eller informationssystemer, der er oprettet på grundlag af afsnit VI i traktaten om Den Europæiske Union, eller

c)

videregives eller er videregivet eller stilles til rådighed eller er stillet til rådighed for de kompetente myndigheder i medlemsstaterne af myndigheder eller informationssystemer, der er oprettet på grundlag af traktaten om Den Europæiske Union eller traktaten om oprettelse af Det Europæiske Fællesskab.

a)

»personoplysninger«: oplysninger vedrørende en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet

b)

»behandling af personoplysninger« og »behandling«: enhver operation eller række af operationer — med eller uden brug af elektroniske midler — som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, lagring, tilpasning eller ændring, udlæsning, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, sletning eller tilintetgørelse

c)

»blokering«: markering af lagrede personoplysninger med den hensigt at begrænse den fremtidige behandling af disse oplysninger

d)

»register med personoplysninger« og »register«: enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag

e)

»registerfører«: ethvert organ, der behandler personoplysninger på den registeransvarliges vegne

f)

»modtager«: ethvert organ, som oplysningerne videregives til

g)

»den registreredes samtykke«: enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling

h)

»kompetente myndigheder«: agenturer eller organer, der er oprettet ved retsakter vedtaget af Rådet i henhold til afsnit VI i traktaten om Den Europæiske Union, samt politi, toldvæsen, retslige myndigheder og andre kompetente myndigheder i medlemsstaterne, der i henhold til national lov har beføjelse til at behandle personoplysninger inden for denne rammeafgørelses anvendelsesområde

i)

»den registeransvarlige«: den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger

j)

»referenceangivelse«: markering af lagrede personoplysninger, uden at det er hensigten at begrænse den fremtidige behandling af disse oplysninger

k)

»at gøre anonym«: at ændre personoplysninger på en sådan måde, at detaljer om personlige eller materielle forhold ikke længere eller kun med en uforholdsmæssig stor indsats af tid, omkostninger og arbejdskraft kan knyttes til en identificeret eller identificerbar fysisk person.

a)

denne behandling ikke er uforenelig med de formål, hvortil oplysningerne er indsamlet

b)

de kompetente myndigheder er bemyndiget til at behandle disse oplysninger med henblik på et sådant andet formål efter de for dem gældende retsforskrifter, og

c)

denne behandling er nødvendig for og hensigtsmæssig i forhold til dette andet formål.

a)

forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner i forbindelse med andre straffelovsovertrædelser eller sanktioner end dem, hvortil de blev videregivet eller stillet til rådighed

b)

andre retlige og administrative procedurer, som hænger direkte sammen med forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner

c)

afværgelse af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed, eller

d)

ethvert andet formål med forhåndsgodkendelse fra den videregivende medlemsstat eller med den registreredes samtykke givet i overensstemmelse med national ret.

a)

det er nødvendigt for forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner

b)

den modtagende myndighed i tredjestaten eller det modtagende internationale organ har ansvaret for at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

c)

den medlemsstat, hvor oplysningerne er indsamlet, har givet sin godkendelse til at videregive disse i henhold til sin nationale lovgivning, og

d)

den pågældende tredjestat eller internationale organ sikrer et tilstrækkeligt beskyttelsesniveau for den påtænkte behandling af oplysningerne.

a)

den nationale lovgivning i den medlemsstat, der videregiver oplysningerne, giver mulighed herfor på grund af:

b)

tredjestaten eller det modtagende internationale organ giver sikkerhedsgarantier, som den pågældende medlemsstat anser for tilstrækkelige i henhold til sin nationale lovgivning.

a)

den kompetente myndighed i den medlemsstat, hvor oplysningerne er indsamlet, har givet tilladelse til videregivelse i henhold til sin nationale lovgivning

b)

den registreredes specifikke legitime interesser ikke forhindrer videregivelse, og

c)

videregivelse af oplysninger i særlige tilfælde er afgørende for den kompetente myndighed, der videregiver oplysningerne til en privat, af hensyn til:

a)

mindst en bekræftelse fra den registeransvarlige eller den nationale tilsynsmyndighed af, om der er videregivet personoplysninger eller stillet personoplysninger til rådighed om den pågældende, samt information om de modtagere eller kategorier af modtagere, oplysningerne er videregivet til, og meddelelse om, hvilke oplysninger der er omfattet af behandlingen, eller

b)

mindst en bekræftelse fra den nationale tilsynsmyndighed på, at der er foretaget alle fornødne kontroller.

a)

for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

for at undgå, at forebyggelsen, afsløringen, efterforskningen og retsforfølgning af strafbare handlinger skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner

c)

for at beskytte den offentlige sikkerhed

d)

for at beskytte den nationale sikkerhed

e)

for beskyttelsen af den registrerede eller andres rettigheder og frihedsrettigheder.

a)

at uautoriserede personer ikke kan få adgang til de anlæg, der benyttes til behandling af personoplysninger (kontrol med fysisk adgang til anlæggene)

b)

at databærerne hverken kan læses, kopieres, ændres eller fjernes af uautoriserede personer (kontrol med databærere)

c)

at forhindre uautoriseret indlæsning af oplysninger samt uautoriseret læsning, ændring eller sletning af indlæste personoplysninger (kontrol med lagring)

d)

at edb-systemerne ikke via datatransmissionsanlæg kan benyttes af uautoriserede personer (brugerkontrol)

e)

at personer med bemyndigelse til at anvende et elektronisk databehandlingssystem kun har adgang til de oplysninger, der er omfattet af deres adgangstilladelse (kontrol med dataadgangen)

f)

at det er muligt at kontrollere og fastslå, til hvilke organer der er blevet eller kan være blevet videregivet eller stillet personoplysninger til rådighed ved hjælp af datakommunikationsudstyr (kontrol med kommunikationsudstyr)

g)

at det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i edb-systemerne, hvornår og af hvem (kontrol med indlæsning)

h)

at der ikke er mulighed for ubemyndiget læsning, kopiering, ændring eller sletning af personoplysninger under overførsler af disse eller under transport af databærere (kontrol med transport)

i)

at de anvendte systemer i tilfælde af teknisk uheld kan genetableres (genopretning)

j)

at systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at lagrede oplysninger ikke bliver forkerte som følge af fejlfunktioner i systemet (ægthed).

a)

når der behandles særlige kategorier af oplysninger, jf. artikel 6, eller

b)

når formen for behandling, især anvendelse af nye teknologier, mekanismer eller procedurer, i andre henseender indebærer særlige risici for den registreredes grundlæggende rettigheder og frihedsrettigheder, herunder især dennes privatliv.

a)

iværksætte efterforskninger og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling, og kunne indsamle alle oplysninger, der er nødvendige for at varetage dens tilsynsopgaver

b)

gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlinger og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger blokeret, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre nationale parlamenter eller andre politiske institutioner

c)

indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af denne rammeafgørelse, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser. Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, kan indbringes for en retsinstans.