EUROPA-KOMMISSIONEN
Bruxelles, den 25.7.2022
COM(2022) 364 final
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET
Første rapport om anvendelsen og funktionen af direktiv (EU) 2016/680 om databeskyttelse på retshåndhævelsesområdet
English
Select your language
Official EU languages:
Access to European Union law
EUR-Lex
Access to European Union law
This document is an excerpt from the EUR-Lex website
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Need more search options? Use the
Advanced search
Document 52022DC0364
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL First report on application and functioning of the Data Protection Law Enforcement Directive (EU) 2016/680 (‘LED’)
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET Første rapport om anvendelsen og funktionen af direktiv (EU) 2016/680 om databeskyttelse på retshåndhævelsesområdet
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET Første rapport om anvendelsen og funktionen af direktiv (EU) 2016/680 om databeskyttelse på retshåndhævelsesområdet
COM/2022/364 final
Language
HTML
DOC
PDF
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET
Første rapport om anvendelsen og funktionen af direktiv (EU) 2016/680 om databeskyttelse på retshåndhævelsesområdet
Indholdsfortegnelse
1 Direktivet om databeskyttelse på retshåndhævelsesområdet som hovedinstrument til at sikre databeskyttelse i Den Europæiske Unions sikkerhedspolitik
1.1 Et centralt element i en sammenhængende EU-databeskyttelsesramme
1.2 Et vigtigt bidrag til at sikre en robust sikkerhedspolitik i Den Europæiske Union
1.3 Vigtige betragtninger i forbindelse med udarbejdelsen af rapporten
2 En tilfredsstillende gennemførelse, men der er stadig en række udestående spørgsmål
2.1 En fuldstændig overordnet gennemførelse, men med nogle betænkeligheder vedrørende specifikke bestemmelser
2.2 Prioriteter for vurdering af overensstemmelse
2.2.1 Anvendelsesområde for retshåndhævelsesdirektivet
2.2.2 Datatilsynsmyndigheders forvaltning og beføjelser
2.2.3 Retsmidler
2.2.4 Tidsfrister for opbevaring og revision
2.2.5 Retsgrundlag for behandling, herunder særlige kategorier af personoplysninger
2.2.6 Automatiske afgørelser
2.2.7 De registreredes rettigheder
2.2.8 Vigtige bestemmelser, der er specifikke for retshåndhævelsesdirektivet
3 De første erfaringer med retshåndhævelsesdirektivets anvendelse og funktion
3.1 Klager og positiv indvirkning på registreredes rettigheder
3.2 Øget bevidsthed om databeskyttelse hos de kompetente myndigheder
3.3 Forbedret datasikkerhed, men forskelle med hensyn til anmeldelser af brud på datasikkerheden
3.4 Datatilsynsmyndighedernes tilsyn
3.4.1 Datatilsynsmyndighedernes ressourcer
3.4.2 Anvendelse af beføjelser
3.4.3 Domstolsprøvelse af datatilsynsmyndighedernes foranstaltninger
3.4.4 Databeskyttelsesrådets retningslinjer
3.4.5 Gensidig bistand
3.5 Fleksibelt instrument til internationale dataoverførsler
3.5.1 Afgørelser om tilstrækkeligheden af beskyttelsesniveauet
3.5.2 Fornødne garantier
3.5.3 Anvendelse af undtagelser
3.5.4 Effektivt politisamarbejde og retligt samarbejde på tværs af grænserne
4 Det videre forløb
1Direktivet om databeskyttelse på retshåndhævelsesområdet som hovedinstrument til at sikre databeskyttelse i Den Europæiske Unions sikkerhedspolitik
Denne meddelelse indeholder Europa-Kommissionens første rapport om evaluering og revision af direktiv (EU) 2016/680 om databeskyttelse på retshåndhævelsesområdet 1 ("retshåndhævelsesdirektivet" eller "direktivet"), jf. direktivets artikel 62, stk. 1.
Rapporten omhandler navnlig anvendelsen og funktionen af retshåndhævelsesdirektivets regler om overførsel af personoplysninger til tredjelande og internationale organisationer som krævet i direktivet, men benytter også en bredere tilgang. Retshåndhævelsesdirektivet placeres inden for rammerne af EU-retten om beskyttelse af personoplysninger og EU-retten om behandlingen af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed ("strafferetlig håndhævelse") 2 . I rapporten gives der et overblik over medlemsstaternes gennemførelse af retshåndhævelsesdirektivet i deres nationale lovgivning, ligesom de første erfaringer med direktivets anvendelse og funktion præsenteres, og det videre forløb skitseres.
1.1Et centralt element i en sammenhængende EU-databeskyttelsesramme
Retshåndhævelsesdirektivet er en af de tre søjler i EU-rammen, der garanterer den grundlæggende ret til beskyttelse af personoplysninger. De to andre er den generelle forordning om databeskyttelse ("persondataforordningen") 3 og forordningen om databeskyttelse for EU's institutioner og organer 4 . Den grundlæggende ret til databeskyttelse er fastsat i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder ("chartret") 5 og i artikel 16 i traktaten om Den Europæiske Unions funktionsmåde ("TEUF") 6 .
Retshåndhævelsesdirektivet trådte i kraft den 6. maj 2016, og medlemsstaterne skulle gennemføre det senest den 6. maj 2018 7 .
Retshåndhævelsesdirektivet er den første EU-retsakt, hvor der benyttes en samlet tilgang til de kompetente myndigheders beskyttelse af personoplysninger (dvs. judicielle myndigheder, politiet og andre strafferetshåndhævende myndigheder, jf. direktivets artikel 3, stk. 7) med henblik på strafferetlig håndhævelse. I forhold til Rådets rammeafgørelse 2008/977/RIA 8 , som det ophævede og erstattede, er retshåndhævelsesdirektivet et stort fremskridt med hensyn til at sikre ensartet anvendelse af databeskyttelsesreglerne i hele EU. Retshåndhævelsesdirektivet indeholder for det første et komplet sæt regler for både grænseoverskridende og national behandling af personoplysninger med henblik på strafferetlig håndhævelse, mens Rådets rammeafgørelse kun omfattede grænseoverskridende behandling. Retshåndhævelsesdirektivet indeholder desuden et omfattende og horisontalt sæt regler, mens hver sektorspecifik EU-retsakt, der indeholdt bestemmelser om behandling af personoplysninger i forbindelse med strafferetlig håndhævelse, under den tidligere tilgang var underlagt dens egne databeskyttelsesregler 9 .
Persondataforordningen, forordningen om databeskyttelse for EU's institutioner og organer og retshåndhævelsesdirektivet bygger på lignende begreber og principper 10 , og det sikrer ensartet fortolkning og anvendelse af EU's databeskyttelsesregler. De har fælles definitioner og indeholder lignende forpligtelser for dataansvarlige og databehandlere. Retshåndhævelsesdirektivet omhandler imidlertid også specifikt risici i forbindelse med behandling af personoplysninger i forbindelse med strafferetlig håndhævelse. De tilsvarende bestemmelser omfatter forpligtelser til at i) sondre mellem forskellige kategorier af registrerede, ii) sondre mellem personoplysninger, der bygger på faktiske omstændigheder, og personoplysninger, der bygger på personlige vurderinger, iii) føre en log over anvendelsen af personoplysninger og opfylde specifikke sikkerhedskrav 11 .
I betragtning af den særlige karakter af det retlige samarbejde i straffesager og politisamarbejde blev det anset for nødvendigt at vedtage specifikke regler på disse områder med henblik på beskyttelsen af personoplysninger og den frie udveksling af personoplysninger 12 . Følsomheden på området for retligt samarbejde i straffesager og politisamarbejde kombineret med kompleksiteten af de nationale retlige rammer, der regulerer strafferetlig håndhævelse, betød, at et direktiv blev betragtet som det bedste instrument til at opnå et højt databeskyttelsesniveau på dette område. Et direktiv giver også medlemsstaterne den nødvendige fleksibilitet, når de gennemfører principper, regler og undtagelser på nationalt plan 13 .
Kommissionen offentliggjorde sin første rapport om gennemførelsen af persondataforordningen den 24. juni 2020 14 . Kommissionen konkluderede, at den generelle holdning var, at persondataforordningen opfyldte sine mål, navnlig ved at give borgerne et stærkt sæt rettigheder, der kan håndhæves, og ved at skabe et nyt EU-system for forvaltning og håndhævelse. Rapporten indeholder en liste over tiltag, der skal iværksættes for yderligere at lette anvendelsen af persondataforordningen for alle interessenter og for at fremme og videreudvikle en databeskyttelseskultur i EU sammen med en streng håndhævelse.
Denne rapport er en opfølgning på gennemgangen af de retsakter, som EU har vedtaget, og som regulerer de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner. Formålet med denne gennemgang var at vurdere behovet for at tilpasse de pågældende retsakter til retshåndhævelsesdirektivet 15 . Den 24. juni 2020 opfyldte Kommissionen denne forpligtelse ved at vedtage meddelelsen "Det videre forløb med tilpasning af den tidligere tredje søjle i EU-retten til databeskyttelsesreglerne" 16 . Kommissionen udpegede ti retsakter, der bør tilpasses retshåndhævelsesdirektivet, og fastsatte en tidsplan for dette arbejde.
Denne rapport blev endelig udarbejdet parallelt med Kommissionens rapport om anvendelsen af forordningen om databeskyttelse for EU's institutioner og organer. Et vigtigt element i sidstnævnte er revisionen af dens regler i kapitel IX om behandling af operationelle personoplysninger i EU-organer, -kontorer eller -agenturer, når de udfører aktiviteter, der falder ind under politisamarbejdet og det retlige samarbejde i straffesager 17 ("RIA-agenturer"). De pågældende regler er i vid udstrækning baseret på retshåndhævelsesdirektivet. I henhold til artikel 98 i forordningen om databeskyttelse for EU's institutioner og organer skal Kommissionen evaluere retsakter, som regulerer behandling af operationelle personoplysninger i RIA-agenturer, og den kan forelægge hensigtsmæssige lovgivningsforslag, navnlig med henblik på at anvende forordningens kapitel IX på Europol 18 og Den Europæiske Anklagemyndighed, herunder om nødvendigt tilpasninger af nævnte kapitel IX.
1.2Et vigtigt bidrag til at sikre en robust sikkerhedspolitik i Den Europæiske Union
Kommissionen har konsekvent understreget, at et effektivt og reelt sikkert EU kun kan opbygges på grundlag af fuld overholdelse af de grundlæggende rettigheder, der er nedfældet i chartret og den afledte EU-ret. Retshåndhævelsesdirektivet yder et vigtigt bidrag til EU's sikkerhedspolitik ved at sikre, at personoplysninger om ofre, vidner og mistænkte for kriminalitet beskyttes behørigt. Ved at harmonisere reglerne om beskyttelse af personoplysninger, der behandles af kompetente myndigheder i EU- og Schengenlandene, bidrager retshåndhævelsesdirektivet endvidere til øget tillid og sikkerhed i forbindelse med oplysninger, der udveksles mellem myndigheder med henblik på strafferetlig håndhævelse, og letter dermed det grænseoverskridende samarbejde om bekæmpelse af kriminalitet og terrorisme 19 . Retshåndhævelsesdirektivet spiller også en central rolle med hensyn til at fremme en kultur for overholdelse af databeskyttelsesreglerne blandt de kompetente myndigheder.
I strategien for EU's sikkerhedsunion 20 understreges det endvidere, at ny teknologi, f.eks. kunstig intelligens, kan anvendes som et effektivt redskab til at bekæmpe kriminalitet. Udnyttelsen af dette potentiale kræver også, at der sikres de højeste standarder for overholdelse af de grundlæggende rettigheder. Databeskyttelseslovgivningen, herunder retshåndhævelsesdirektivet, udgør grundlaget for opbygningen af sektorspecifik lovgivning. Den foreslåede retsakt om kunstig intelligens 21 vil f.eks. yderligere fastlægge rammerne for anvendelsen af personoplysninger til fjernstyret biometrisk identifikation på offentlige steder med henblik på retshåndhævelse.
Endelig bliver kriminalitet (og navnlig IT-kriminalitet og anden cyberbaseret kriminalitet) i en indbyrdes forbundet verden mere og mere grænseoverskridende. Selv når de kompetente myndigheder undersøger nationale sager, befinder de sig i stigende grad i grænseoverskridende situationer, fordi oplysninger er lagret elektronisk i et tredjeland. Dette øger behovet for internationalt samarbejde om strafferetlig efterforskning, både fra medlemsstaternes myndigheder og fra EU-organer såsom Europol og Eurojust. Et sådant samarbejde, og navnlig indsamling og udveksling af elektronisk bevismateriale 22 , indebærer ofte overførsel af personoplysninger. Stærke databeskyttelsesgarantier er derfor af afgørende betydning. Sådanne databeskyttelsesgarantier bidrager også til at opbygge tillid mellem de retshåndhævende myndigheder, og det sikrer en hurtigere og mere effektiv informationsudveksling og styrker retssikkerheden, når oplysninger derefter anvendes i straffesager. I denne henseende indeholder retshåndhævelsesdirektivet et ajourført sæt værktøjer til at lette sådanne overførsler af personoplysninger fra EU til et tredjeland eller en international organisation (f.eks. Interpol 23 ), samtidig med at det sikres, at personoplysningerne fortsat er omfattet af et højt beskyttelsesniveau. Kommissionen og medlemsstaterne har gjort brug af alle værktøjerne i retshåndhævelsesdirektivet siden dets ikrafttræden, og det bekræfter, at det er tilstrækkelig bredt og fleksibelt til at muliggøre et effektivt internationalt politisamarbejde og retligt samarbejde.
1.3Vigtige betragtninger i forbindelse med udarbejdelsen af rapporten
Ved udarbejdelsen af denne rapport har Kommissionen indsamlet oplysninger og feedback fra forskellige kilder og målrettede høringer. I overensstemmelse med retshåndhævelsesdirektivets artikel 62 tog Kommissionen hensyn til bidrag og holdninger fra Europa-Parlamentet 24 , Rådet 25 , Det Europæiske Databeskyttelsesråd ("Databeskyttelsesrådet ") 26 og nationale datatilsynsmyndigheder. Der blev indhentet yderligere feedback ved hjælp af et spørgeskema, der blev sendt til civilsamfundsorganisationer (gennem Den Europæiske Unions Agentur for Grundlæggende Rettigheder) 27 samt svar på en opfordring til indsendelse af dokumentation 28 . Kommissionen tog også hensyn til bemærkninger fra medlemsstaternes ekspertgruppe om persondataforordningen og retshåndhævelsesdirektivet 29 samt bemærkninger fra det tyske formandskab for Rådet 30 . Kommissionen tog også hensyn til analysen af de nationale gennemførelsesforanstaltninger og et mindre antal klager, den havde modtaget i denne forbindelse.
Retshåndhævelsesdirektivet gælder for alle medlemsstater og alle Schengenlande (fordi det er en videreudvikling af Schengenreglerne 31 ), men denne rapport omhandler kun EU's medlemsstater.
Tre faktorer har påvirket udarbejdelsen af denne rapport. For det første overholdt to tredjedele af medlemsstaterne ikke fristen i maj 2018 for gennemførelse af retshåndhævelsesdirektivet i national ret. De fleste medlemsstater gennemførte imidlertid retshåndhævelsesdirektivet inden 2019, efter at Kommissionen havde indledt traktatbrudsprocedurer. Der er derfor ret begrænsede erfaringer med dets anvendelse, et punkt, som både Databeskyttelsesrådet 32 og Rådet 33 også understreger. For det andet viste det sig at være vanskeligere at udarbejde statistikker om anvendelsen af retshåndhævelsesdirektivet sammenlignet med persondataforordningen. Nogle datatilsynsmyndigheder indsamler ikke statistikker om deres tilsynsaktiviteter særskilt for retshåndhævelsesdirektivet og persondataforordningen. Dette er f.eks. tilfældet i forbindelse med anmeldelser af brud på datasikkerheden 34 og klager indgivet i henhold til retshåndhævelsesdirektivet 35 , og det gør det i nogle tilfælde vanskeligt at få et nøjagtigt overblik over disse bestemmelser i retshåndhævelsesdirektivet 36 .
Det skal for det tredje tages i betragtning, at retspraksis vedrørende anvendelsen af retshåndhævelsesdirektivet først nu er ved at blive udviklet. Der verserer i øjeblikket flere sager ved Den Europæiske Unions Domstol ("EU-Domstolen") vedrørende fortolkningen af centrale bestemmelser i retshåndhævelsesdirektivet, såsom de registreredes ret til indsigt og retten til effektive retsmidler. Disse domme vil skabe større klarhed og bidrage til en mere harmoniseret tilgang blandt medlemsstaterne.
2En tilfredsstillende gennemførelse, men der er stadig en række udestående spørgsmål
Kommissionen har nedsat en ekspertgruppe for medlemsstaterne 37 , som skal hjælpe medlemsstaterne med at indarbejde retshåndhævelsesdirektivet i deres nationale lovgivning. Gruppen letter drøftelser og udveksling af erfaringer mellem medlemsstaterne og Kommissionen om databeskyttelsesregler. Gruppen mødtes regelmæssigt mellem direktivets vedtagelse i 2016 og gennemførelsesfristen i maj 2018 og genoptog sit arbejde i 2021.
Den oversigt over gennemførelsen, der præsenteres nedenfor, fokuserer på de vigtigste spørgsmål, der er identificeret indtil videre. Den er primært baseret på Kommissionens analyse af de oplysninger, som medlemsstaterne gav, da de underrettede Kommissionen om de nationale foranstaltninger, de har truffet for at gennemføre retshåndhævelsesdirektivet i national ret. Denne analyse blev understøttet af en ekstern undersøgelse foretaget af en ekstern kontrahent. Kommissionen deltog også i bilaterale udvekslinger med flere medlemsstater.
2.1En fuldstændig overordnet gennemførelse, men med nogle betænkeligheder vedrørende specifikke bestemmelser
Kommissionen indledte traktatbrudsprocedurer mod 19 medlemsstater i juli 2018, fordi de ikke havde vedtaget love til gennemførelse af retshåndhævelsesdirektivet inden fristen i maj 2018 og ikke havde underrettet Kommissionen om deres gennemførelse. En anden procedure for delvis manglende gennemførelse blev indledt i juli 2019 mod en anden medlemsstat. Som følge heraf underrettede de fleste medlemsstater herefter Kommissionen om deres nationale gennemførelseslovgivning, og Kommissionen afsluttede gradvist traktatbrudsprocedurerne mod dem i 2019 (2020 for én medlemsstat). I 2021 indbragte Kommissionen sit traktatbrudssøgsmål mod Spanien for EU-Domstolen, fordi Spanien stadig ikke havde gennemført retshåndhævelsesdirektivet og underrettet Kommissionen om dets gennemførelsesforanstaltninger. I betragtning af overtrædelsens grovhed og varighed pålagde EU-Domstolen for første gang Spanien at betale både et fast beløb og en tvangsbøde 38 .
Kommissionen indledte også — i april 2022 — en traktatbrudsprocedure mod Tyskland efter at have konstateret et hul i gennemførelsen af retshåndhævelsesdirektivet i forbindelse med det tyske forbundspolitis aktiviteter.
Kommissionen vil fortsat vurdere gennemførelsen af retshåndhævelsesdirektivet i medlemsstaterne og træffe de nødvendige foranstaltninger til at afhjælpe eventuelle mangler.
2.2Prioriteter for vurdering af overensstemmelse
Kommissionen kontrollerer også, at retshåndhævelsesdirektivets krav gennemføres korrekt gennem medlemsstaternes nationale bestemmelser (overensstemmelseskontrol).
Ved gennemførelsen af retshåndhævelsesdirektivet ændrede medlemsstaterne deres tidligere lovgivning om databeskyttelse eller ophævede den og erstattede den med ny horisontal databeskyttelseslovgivning. I mange tilfælde gennemføres retshåndhævelsesdirektivet i national ret ved henvisning til den samme eller tilsvarende bestemmelse i persondataforordningen (f.eks. med hensyn til definitioner, anmeldelser af brud på datasikkerheden, udpegelse af databeskyttelsesrådgiveren og bestemmelser om de nationale datatilsynsmyndigheders organisation, status, kompetencer, opgaver og beføjelser). En række af bestemmelserne i retshåndhævelsesdirektivet blev også gennemført gennem nye bestemmelser i f.eks. den almindelige forvaltningsret, den administrative retspleje eller strafferetsplejen. Nogle medlemsstater har også gennemført en række af direktivets bestemmelser i sektorspecifik lovgivning, der regulerer bestemte kompetente myndigheders funktion og beføjelser. Det kan derfor være nødvendigt at tage hensyn til en række nationale retsakter, når det skal afgøres, om retshåndhævelsesdirektivet er blevet korrekt gennemført i en bestemt medlemsstat. Overordnet set afspejler de nationale love i vid udstrækning principperne og de centrale bestemmelser i retshåndhævelsesdirektivet. Der er imidlertid konstateret en række problemer, hvoraf de vigtigste er beskrevet i de følgende afsnit. Kommissionen har allerede indledt en række traktatbrudsprocedurer mod medlemsstaterne 39 . Revisionsprocessen fortsætter, og Kommissionen vil fortsat anvende alle tilgængelige værktøjer, herunder traktatbrudsprocedurer, når en national gennemførelsesforanstaltning ikke er i overensstemmelse med retshåndhævelsesdirektivet.
Retspraksis vedrørende retshåndhævelsesdirektivet er stadig i sin vorden. EU-Domstolen er begyndt at afsige domme om fortolkningen af retshåndhævelsesdirektivet, herunder i sagen WS mod Bundesrepublik Deutschland 40 og B mod Latvijas Republikas Saeima 41 . På tidspunktet for udarbejdelsen af denne rapport verserer der en række præjudicielle afgørelser ved EU-Domstolen (som anført i de følgende afsnit).
2.2.1Anvendelsesområde for retshåndhævelsesdirektivet
Vanskeligheden ved at afgrænse anvendelsesområdet for retshåndhævelsesdirektivet og persondataforordningen blev rejst som et problem af både af medlemsstaternes ekspertgruppe om persondataforordningen og retshåndhævelsesdirektivet 42 og af Databeskyttelsesrådet 43 . Nogle datatilsynsmyndigheder har også bemærket, at de kompetente myndigheder har vanskeligt ved dette 44 .
Anvendelsesområdet for retshåndhævelsesdirektivet er defineret 45 ved to centrale elementer: begrebet kompetent myndighed (personelt anvendelsesområde) og begrebet strafbar handling (materielt anvendelsesområde).
Med hensyn til personelt anvendelsesområde er databehandling omfattet af retshåndhævelsesdirektivet, når den for det første foretages af en kompetent myndighed, og når personoplysninger for det andet behandles med henblik på retshåndhævelse 46 (dvs. med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed). Efter Kommissionens opfattelse er "kompetente myndigheder" som defineret i retshåndhævelsesdirektivet 47 enten statslige organer eller private organer, som loven tillægger særlige beføjelser ud over dem, der følger af de almindelige regler, der finder anvendelse i forholdet mellem private, og/eller af muligheden for at udøve tvangsindgreb. Disse myndigheder er kompetente myndigheder i henhold til retshåndhævelsesdirektivet, når de (om end kun sporadisk og/eller i isolerede tilfælde) behandler data med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed). Dette betyder f.eks., at sådanne organers behandling af personoplysninger til andre formål end retshåndhævelsesformål (f.eks. personalemæssige eller andre administrative formål, f.eks. finansielle efterretningsenheders behandling af personoplysninger i henhold til reglerne om bekæmpelse af hvidvaskning af penge 48 ) er omfattet af anvendelsesområdet for persondataforordningen og ikke retshåndhævelsesdirektivet.
Begrebet "strafbar handling" er af central betydning, når det afgøres, om databehandling er omfattet af anvendelsesområdet for retshåndhævelsesdirektivet eller ej. Ifølge EU-Domstolen er tre kriterier relevante for at vurdere, om en lovovertrædelse har karakter af en strafbar handling: om lovovertrædelsen er klassificeret som strafbar i national ret, selve lovovertrædelsens art og karakteren og strengheden af den sanktion, som den pågældende risikerer at blive pålagt 49 . Den selvstændige karakter af begrebet strafbar handling, jf. betragtning 13 til retshåndhævelsesdirektivet, indebærer bl.a., at medlemsstaternes lovgivning ikke kan betegne en lovovertrædelse som "strafbar" alene med henblik på anvendelsen af retshåndhævelsesdirektivet.
Spørgsmålet om afgrænsning mellem anvendelsesområdet for persondataforordningen og retshåndhævelsesdirektivet opstår i nogle medlemsstater i forbindelse med afgrænsningen mellem strafferetlige og administrative overtrædelser. I nogle nationale gennemførelseslove henvises der eksempelvis til formål med behandling af personoplysninger, som ikke er anført i retshåndhævelsesdirektivets artikel 1 (f.eks. trusler mod den offentlige orden eller den offentlige sikkerhed). Spørgsmålet opstår også, fordi nogle medlemsstater mener, at en række administrative organer (f.eks. finansielle efterretningsenheder som nævnt ovenfor) udfører opgaver, der falder ind under retshåndhævelsesdirektivet.
De fleste af medlemsstaternes love dækker i vid udstrækning enhver kompetent myndighed, der behandler oplysninger til retshåndhævelsesformål. Nogle medlemsstater har derimod valgt udtømmende at opregne de kompetente myndigheder i henhold til retshåndhævelsesdirektivet i deres nationale lovgivning. Enkelte medlemsstater har indført en undtagelse for visse typer kompetente myndigheders behandling eller visse typer data.
Spørgsmålet om anvendelsesområdet for retshåndhævelsesdirektivet er genstand for en præjudiciel forelæggelse for Domstolen. Landesverwaltungsgericht Tirol (Østrig) har rejst spørgsmålet om anvendelsesområdet for retshåndhævelsesdirektivet i en sag, hvor en kompetent myndighed forgæves forsøgte at få adgang til oplysninger på en beslaglagt telefon (fortolkning af retshåndhævelsesdirektivets artikel 2). Sagen vedrører også betingelserne for en sådan adgang 50 .
2.2.2Datatilsynsmyndigheders forvaltning og beføjelser
Alle medlemsstater undtagen to (Belgien og Sverige) har overladt håndhævelsen af retshåndhævelsesdirektivet til den tilsynsmyndighed, der også er ansvarlig for håndhævelsen af persondataforordningen. Belgien har overdraget tilsynet med politiet med henblik på retshåndhævelsesdirektivet til en anden tilsynsmyndighed. I Sverige deles tilsynet med visse kompetente myndigheder, herunder politiet, mellem den kompetente tilsynsmyndighed for persondataforordningen og en anden tilsynsmyndighed. I henhold til retshåndhævelsesdirektivet har alle datatilsynsmyndigheder desuden ikke kompetence til at føre tilsyn med domstolene, når de handler i deres egenskab af domstol.
Med hensyn til retshåndhævelsesdirektivets bestemmelser om datatilsynsmyndigheders uafhængighed 51 har alle medlemsstater i deres gennemførelseslovgivning fastsat, at datatilsynsmyndighederne skal udføre deres opgaver i fuld uafhængighed. De kræver også, at medlemmerne af deres datatilsynsmyndigheder skal være frie for udefrakommende indflydelse og hverken må søge eller modtage instrukser fra andre.
Datatilsynsmyndighedernes tilsyn med overensstemmelse er afgørende og nedfældet i chartrets artikel 8, stk. 3. I henhold til retshåndhævelsesdirektivet skal medlemsstaterne give datatilsynsmyndigheder effektive undersøgelsesbeføjelser, korrigerende beføjelser og rådgivningsbeføjelser. Dette er en forudsætning for en korrekt håndhævelse af databeskyttelsesreglerne og dermed for at nå direktivets mål om et højt beskyttelsesniveau for de grundlæggende rettigheder, navnlig med hensyn til retten til beskyttelse af personoplysninger, og for at sikre fri udveksling af personoplysninger i EU. Datatilsynsmyndighederne skal have de samme beføjelser i hele EU, for at de kan udføre deres opgaver som krævet i retshåndhævelsesdirektivet 52 .
Alle medlemsstaterne har givet deres myndigheder de undersøgelsesbeføjelser, der er angivet i retshåndhævelsesdirektivet, og de fleste medlemsstater har også givet dem andre beføjelser (f.eks. til at foretage revisioner, få adgang til lokaler, kopiere data og beslaglægge genstande 53 ). Som følge heraf fandt næsten alle datatilsynsmyndigheder, at de havde effektive undersøgelsesbeføjelser.
Næsten alle medlemsstater har fastsat bestemmelser om de korrigerende beføjelser, der er anført i retshåndhævelsesdirektivet 54 . Mange medlemsstater har gjort det ved nøje at følge ordlyden i retshåndhævelsesdirektivet, mens flere har anvendt meget brede formuleringer, som med rimelighed kan fortolkes til at omfatte alle de beføjelser, der er fastsat i retshåndhævelsesdirektivet.
De fleste medlemsstaters lovgivning giver desuden datatilsynsmyndighederne beføjelse til at pålægge administrative bøder 55 .
Ikke alle medlemsstater har givet deres datatilsynsmyndigheder beføjelse til at indbringe overtrædelser af de nationale love, der er vedtaget til gennemførelse af retshåndhævelsesdirektivet, for retslige myndigheder og til at indlede eller på anden måde deltage i retssager. En sådan beføjelse er vigtig og supplerer de andre midler, som datatilsynsmyndighederne har til rådighed for effektivt at sikre et højt beskyttelsesniveau for fysiske personers grundlæggende rettigheder og navnlig deres ret til beskyttelse af deres personoplysninger.
2.2.3Retsmidler
Alle medlemsstaterne har fastsat bestemmelser om retten til at indgive klage til en tilsynsmyndighed 56 . I de fleste nationale love er der fastsat en frist for indgivelse af en sådan klage. Det er vigtigt, at denne frist ikke hindrer de registreredes rettigheder i denne henseende.
I overensstemmelse med retshåndhævelsesdirektivet 57 har alle medlemsstaterne fastsat bestemmelser om adgang til retsmidler til prøvelse af tilsynsmyndighedens afgørelser, uden at dette berører andre administrative eller udenretslige klagemuligheder i deres retssystemer. Der er adgang til retsmidler i alle medlemsstater, bortset fra to 58 , hvis en tilsynsmyndighed ikke behandler en klage eller underretter den registrerede om forløbet eller resultatet af klagen inden for tre måneder 59 .
De fleste medlemsstater har også fastsat bestemmelser om adgang til retsmidler over for en dataansvarlig eller databehandler 60 i tilfælde af en påstået overtrædelse af retshåndhævelsesdirektivet. Flere nationale gennemførelseslove giver imidlertid ikke registrerede ret til at bemyndige et organ, en organisation eller en sammenslutning, som ikke arbejder med gevinst for øje, til at indgive en klage til en tilsynsmyndighed eller anlægge sag på deres vegne 61 .
2.2.4Tidsfrister for opbevaring og revision
Medlemsstaternes tilgange til gennemførelse af fristerne for opbevaring og revision af personoplysninger i retshåndhævelsesdirektivet 62 varierer betydeligt. De fleste nationale databeskyttelsesretsakter om gennemførelse af retshåndhævelsesdirektivet opfylder kun det generelle krav i direktivets artikel 5. Dette betyder, at frister for sletning af personoplysninger eller for regelmæssig revision af behovet for at opbevare personoplysninger skal fastsættes i den sektorspecifikke lovgivning. Enkelte medlemsstater gennemfører bestemmelsen ved at fastsætte tidsfrister i den sektorspecifikke lovgivning.
I nogle medlemsstater fastsættes fristerne imidlertid af den kompetente myndighed i henhold til loven. I nogle tilfælde indeholder loven ingen kriterier for den regelmæssige revision, og det kræves ikke, at sådanne kriterier fastsættes i anden lovgivning, og/eller det er ikke fastsat, at procedurer til sikring af, at fristerne overholdes, også skal fastsættes i national ret.
Det bemærkes, at Bulgariens øverste forvaltningsdomstol for nylig har anmodet EU-Domstolen om at besvare dens anmodning om en præjudiciel afgørelse vedrørende fortolkningen af retshåndhævelsesdirektivets artikel 5 vedrørende fristerne for opbevaring af personoplysninger 63 .
2.2.5Retsgrundlag for behandling, herunder særlige kategorier af personoplysninger
De fleste medlemsstater har — med en formulering, der ofte stemmer nøje overens med retshåndhævelsesdirektivets artikel 8 — fastsat, at retsgrundlaget for behandling skal fastsættes i EU-retten eller i medlemsstaternes lovgivning. Nogle nationale databeskyttelsesretsakter til gennemførelse af retshåndhævelsesdirektivet afspejler imidlertid ikke kravet om, at de personoplysninger, der skal behandles, og formålene med behandlingen bør fastsættes ved lov 64 . Andre nationale databeskyttelsesretsakter til gennemførelse af retshåndhævelsesdirektivet indeholder ikke alle de bestemmelser, der svarer til artikel 8. Det er op til den nationale lovgivning at fastsætte grundlaget for behandling og opfylde kravene i artikel 8. En simpel gentagelse af de generelle krav i direktivets artikel 8 i den nationale lov kan desuden ikke betragtes som et tilstrækkeligt retsgrundlag for en specifik behandlingsaktivitet: Den myndighed, der er kompetent til at behandle personoplysningerne, de offentlige opgaver, den udfører, som begrunder en sådan behandling, og formålet med behandlingen skal angives i den nationale lov.
Hvad angår behandling af særlige kategorier af personoplysninger 65 , kræver de fleste medlemsstater, at det er strengt nødvendigt at behandle dem. De fleste medlemsstater har også samme retsgrundlag for behandling af følsomme oplysninger som fastsat i retshåndhævelsesdirektivets artikel 10 (behandling, hvis hjemlet ved lov, for at beskytte den registreredes eller en anden fysisk persons vitale interesser, hvis denne behandling vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede). I enkelte medlemsstater indeholder gennemførelseslovgivningen visse yderligere grunde til databehandling (f.eks. hvis behandlingen af sådanne oplysninger er nødvendig for at afværge eller forebygge en fare, der direkte truer personers liv, fysiske integritet eller aktiver, eller for at beskytte den registreredes eller en anden persons helbred eller interesser). Hvis den nationale databeskyttelsesretsakt til gennemførelse af retshåndhævelsesdirektivet ikke giver de nødvendige garantier for de registreredes rettigheder og frihedsrettigheder (som det er tilfældet i nogle medlemsstater), skal sådanne garantier være fastsat i den sektorspecifikke lovgivning.
I enkelte nationale gennemførelseslove henvises der til samtykke i forbindelse med behandling af personoplysninger, herunder behandling af særlige kategorier af personoplysninger. Selv om medlemsstaterne ikke er afskåret fra i deres nationale lovgivning at fastsætte bestemmelser om, at den registrerede kan acceptere behandling af vedkommendes personoplysninger til retshåndhævelsesformål, skal det bemærkes, at dette samtykke kun kan tjene som en garanti og ikke kan udgøre retsgrundlaget for en sådan behandling. Drøftelserne om dette spørgsmål viser, at det ville være nyttigt at have flere retningslinjer for samtykkets rolle i forbindelse med behandling af personoplysninger med henblik på strafferetlig håndhævelse.
2.2.6Automatiske afgørelser
Alle medlemsstaternes gennemførelseslove indeholder bestemmelser, der forbyder en afgørelse, som udelukkende er baseret på automatisk behandling, medmindre det er fastsat ved lov 66 . De fleste medlemsstaters gennemførelseslovgivning kræver, at sådanne afgørelser ikke er baseret på særlige kategorier af personoplysninger, medmindre der gives passende garantier 67 . De forbyder også profilering, der fører til forskelsbehandling 68 . I nogle nationale lovgivninger henvises der imidlertid ikke til de fornødne garantier for den registreredes rettigheder og frihedsrettigheder i tilfælde, hvor automatiske afgørelser er tilladt ved lov. Mere specifikt fastsætter ikke alle medlemsstater bestemmelser om retten til menneskelig indgriben fra den dataansvarliges side eller kræver ikke passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.
2.2.7De registreredes rettigheder
Alle medlemsstaterne har valgt at gøre brug af direktivets mulighed for at begrænse registreredes ret til indsigt i deres personoplysninger 69 . De fleste medlemsstater fastsætter også andre begrænsninger af de registreredes rettigheder 70 . De nationale databeskyttelsesretsakter til gennemførelse af retshåndhævelsesdirektivet følger ofte kun direktivets generelle formuleringer uden yderligere præcisering af de omstændigheder, hvorunder begrænsningerne finder anvendelse. I sådanne tilfælde skal disse omstændigheder og betingelser præciseres i sektorspecifik lovgivning, da det ellers ville give de registeransvarlige skønsbeføjelser med hensyn til anvendelsen af disse begrænsninger.
De fleste medlemsstater overholder direktivets krav om at gøre det muligt for registrerede at udøve deres rettigheder via datatilsynsmyndigheden 71 . De fleste medlemsstater har benyttet sig af muligheden for at fastsætte, at de registreredes rettigheder skal udøves i overensstemmelse med national ret i forbindelse med nationale strafferetlige efterforskninger og straffesager 72 .
Flere medlemsstaters gennemførelseslove afspejler ikke alle direktivets specifikke krav med hensyn til den måde, hvorpå de registreredes rettigheder skal udøves (f.eks. format og kommunikationsmidler i forbindelse med svar samt gebyrfrihed).
Der verserer en præjudiciel afgørelse 73 indgivet af en tysk domstol vedrørende fortolkningen af begrænsningerne af registreredes ret til indsigt i deres oplysninger (direktivets artikel 15 sammenholdt med dets artikel 54), retten til effektive retsmidler i henhold til chartrets artikel 47 og erhvervsfriheden i henhold til chartrets artikel 15.
2.2.8Vigtige bestemmelser, der er specifikke for retshåndhævelsesdirektivet
Nogle af direktivets bestemmelser er specifikke for strafferetlig håndhævelse, og der findes ingen tilsvarende bestemmelser i persondataforordningen.
Kategorier af registrerede
I henhold til retshåndhævelsesdirektivet skal medlemsstaterne kræve, at den dataansvarlige, hvor det er relevant og så vidt muligt, klart sondrer mellem personoplysninger om forskellige kategorier af registrerede (f.eks. personer, om hvem der er væsentlig grund til at tro, at de har begået eller vil begå en strafbar handling ("mistænkte")) 74 . I nogle medlemsstaters lovgivning specificeres de kategorier, der er nævnt i direktivet, ikke (i et vist omfang eller overhovedet). Når kategorien "mistænkte" specificeres, kræver visse nationale love ikke, at der skal være "væsentlig grund til at tro, at de har begået eller vil begå en strafbar handling". EU-Domstolen vil med sin kommende afgørelse i den verserende sag Ministerstvo na vatreshnite raboti mod B.C. yderligere præcisere fortolkningen af retshåndhævelsesdirektivet med hensyn til kategorier af registrerede, herunder kravet om, at kategoriseringen af en registreret som mistænkt skal være betinget af, at der foreligger "væsentlig grund til at tro, at de har begået eller vil begå en strafbar handling" 75 .
Sondring mellem kategorier af personoplysninger og kontrol med kvaliteten af personoplysninger
Medlemsstaterne skal fastsætte bestemmelser om, at der så vidt muligt skal sondres mellem personoplysninger, der bygger på faktiske omstændigheder, og personoplysninger, der bygger på personlige vurderinger 76 . De skal også træffe foranstaltninger for at sikre, at personoplysninger, som er urigtige, ufuldstændige eller ikke ajourførte, ikke videregives eller stilles til rådighed. Hvis der er videregivet ukorrekte oplysninger, bør modtagerne straks underrettes, og i sådanne tilfælde skal personoplysningerne berigtiges eller slettes, eller deres behandling skal begrænses. De fleste medlemsstater har gennemført dette krav, men nogle af de krævede specifikke foranstaltninger er ikke fastsat udtrykkeligt i flere nationale gennemførelseslove.
Logning
I alt 12 medlemsstater 77 har benyttet sig af muligheden for først at bringe deres automatiske databehandlingssystemer i overensstemmelse med kravene til logning i maj 2023 78 .
De fleste medlemsstater sørger for, at der foretages logning af behandlingsaktiviteter i automatiske databehandlingssystemer 79 . I nogle nationale love kræves det ikke, at der foretages logning af alle typer aktiviteter. Retshåndhævelsesdirektivet fastsætter de typer oplysninger, som loggene som minimum skal indeholde. I nogle nationale love har man ikke medtaget alle de krævede typer oplysninger (f.eks. begrundelsen for søgningen eller videregivelse af personoplysninger).
3De første erfaringer med retshåndhævelsesdirektivets anvendelse og funktion
3.1Klager og positiv indvirkning på registreredes rettigheder
Retshåndhævelsesdirektivet sikrer beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig retten til databeskyttelse. Det fastlægger en omfattende ramme for den registreredes rettigheder og for, hvordan disse rettigheder kan udøves, herunder den registreredes ret til information og retten til at få indsigt i, berigtige eller slette sine personoplysninger og retten til at begrænse behandlingen. Retshåndhævelsesdirektivet har styrket de registreredes forståelse af deres rettigheder og af den måde, hvorpå de kan udøve dem, hvilket afspejles i en stigning i antallet af anmodninger til de kompetente myndigheder. Praksis har vist, at blandt de rettigheder, der tillægges registrerede efter retshåndhævelsesdirektivet, er retten til indsigt og sletning den ret, der hyppigst påberåbes over for de kompetente myndigheder 80 .
I henhold til retshåndhævelsesdirektivet kan der indføres begrænsninger for visse rettigheder (retten til indsigt 81 og retten til berigtigelse eller sletning 82 ) og for de oplysninger, som en dataansvarlig skal give den registrerede i forbindelse med de personoplysninger, der er blevet behandlet 83 . Registrerede kan anmode datatilsynsmyndighederne om at kontrollere en kompetent myndigheds begrænsning af den pågældende rettighed eller anmode dem om at kontrollere, om begrænsningen blev gennemført i overensstemmelse med retshåndhævelsesdirektivet (indirekte udøvelse af retten) 84 . Omtrent halvdelen af datatilsynsmyndighederne rapporterer, at de har modtaget en sådan anmodning 85 . Praksis viser, at antallet af modtagne anmodninger kan variere betydeligt (der blev f.eks. modtaget én sådan anmodning i Kroatien, men mere end 1 500 i Frankrig) 86 . Efter en kontrol eller en gennemgang af disse klager fandt datatilsynsmyndighederne, at de fleste var grundløse, men den dataansvarlige blev i flere tilfælde pålagt at berigtige eller slette personoplysningerne eller at begrænse behandlingen af personoplysninger for derved at sikre en korrekt anvendelse af begrænsningerne 87 .
I henhold til retshåndhævelsesdirektivet kan et organ, en organisation eller en sammenslutning, som ikke arbejder med gevinst for øje, indgive en klage på vegne af en registreret. Denne mulighed synes at være underudnyttet (kun fire datatilsynsmyndigheder rapporterede, at de havde modtaget sådanne klager fra et repræsentativt organ) 88 ). Civilsamfundsorganisationer rapporterede tilsvarende kun et meget lille antal anmodninger om at indgive en sådan klage 89 .
Enkeltpersoner udøver også i stigende grad deres ret til at indgive klager til datatilsynsmyndighederne, herunder i tilfælde, hvor de kompetente myndigheder begrænser udøvelsen af de registreredes rettigheder. Mere end en tredjedel af datatilsynsmyndighederne rapporterede om en stigning i antallet af klager, der blev modtaget efter gennemførelsen af retshåndhævelsesdirektivet i deres medlemsstater 90 . Nogle af klager, som datatilsynsmyndigheder oftest modtog, vedrørte begrænsningen af retten til indsigt 91 , retten til berigtigelse eller sletning 92 samt retten til information og begrænsningerne heraf 93 . Disse blev efterfulgt af klager vedrørende princippet om begrænsning af opbevaring, som kræver, at de kompetente myndigheder ikke opbevarer personoplysninger længere end nødvendigt, og om retten til information.
3.2Øget bevidsthed om databeskyttelse hos de kompetente myndigheder
Medlemsstaterne rapporterer, at indførelsen af retshåndhævelsesdirektivet har haft og fortsat har stor indvirkning på de kompetente myndigheders bevidsthed om betydningen af databeskyttelse 94 . Flere datatilsynsmyndigheder har tilkendegivet, at den største virkning af retshåndhævelsesdirektivet har været styrkelsen af bevidstheden og fokusset på databeskyttelsesspørgsmål og registreredes rettigheder 95 . Dette fremgik også af udvekslinger mellem datatilsynsmyndigheder og kompetente myndigheder om de registreredes rettigheder og de nærmere bestemmelser om udøvelsen af disse rettigheder 96 . Nogle kompetente myndigheder rapporterede, at de som følge heraf havde afsat flere ressourcer til databeskyttelse 97 . Dette omfattede investering i indarbejdelsen af princippet om beskyttelse af privatlivets fred gennem design og gennem standardindstillinger i deres IT-systemer, fastsættelse af dataopbevaringsperiode, anvendelse af princippet om dataminimering og rapportering af brud på datasikkerheden. Den generelle sikkerhed for de behandlede data er således blevet forbedret 98 .
Uddannelses- og oplysningsaktiviteter, der gennemføres af datatilsynsmyndigheder, bidrager også til en korrekt gennemførelse af retshåndhævelsesdirektivet, og datatilsynsmyndighederne har til opgave at øge bevidstheden blandt dataansvarlige og databehandlere om deres forpligtelser i henhold til retshåndhævelsesdirektivet 99 .
Mange datatilsynsmyndigheder øger bevidstheden ved at offentliggøre retningslinjer. Nogle af de emner, som de forskellige datatilsynsmyndigheder dækker, omfatter f.eks.: assistancen til retsvæsenet, anklagemyndigheden og politimyndighederne med hensyn til at overholde princippet om ansvarlighed, udveksling af personoplysninger med politiet, udpegelse af en databeskyttelsesrådgiver, udførelse af en konsekvensanalyse af databeskyttelse, behandling af data vedrørende f.eks. organiseret kriminalitet og terrorisme, registrering af behandlingsaktiviteter og logning, videoovervågning, udlevering af oplysninger til registrerede, anmeldelse af brud på datasikkerheden, de registeransvarliges forpligtelser og enkeltpersoners udøvelse af rettigheder.
Otte datatilsynsmyndigheder har imidlertid endnu ikke udstedt retningslinjer og/eller praktiske værktøjer til at hjælpe de kompetente myndigheder og databehandlere med at opfylde deres forpligtelser.
12 datatilsynsmyndigheder har endnu ikke tilbudt uddannelse eller gennemført oplysningsaktiviteter for kompetente myndigheder eller databehandlere inden for rammerne af retshåndhævelsesdirektivet 100 . De datatilsynsmyndigheder, der udførte sådanne aktiviteter, haft oftest fokus på følgende emner: behandling af oplysninger foretaget af politiet, anklagemyndighederne og de retslige og strafferetlige myndigheder, definition af de respektive anvendelsesområder for persondataforordningen og retshåndhævelsesdirektivet, anvendelse af personoplysninger fra sociale medier, behandling af oplysninger i politiregistre, videoovervågningsteknikker og big data, håndtering af de registreredes rettigheder og behandling af indsattes personoplysninger 101 .
En anden nyskabelse i retshåndhævelsesdirektivet er kravet om, at dataansvarlige skal udpege en databeskyttelsesrådgiver, hvis opgaver bl.a. omfatter information og rådgivning om databeskyttelseskrav, overvågning af overholdelsen af retshåndhævelsesdirektivet, rådgivning om konsekvensanalyser vedrørende databeskyttelse og overvågning af resultaterne heraf 102 . Dette har bevirket, at de kompetente myndigheder er blevet mere bevidste om deres databeskyttelsesforpligtelser, og det har haft en positiv indvirkning på de kompetente myndigheders overholdelse af databeskyttelsesreglerne, hvilket Rådet også har anerkendt 103 .
Det er vigtigt at investere i udvikling og maksimering af databeskyttelsesrådgiveres ekspertise og viden for at hjælpe de kompetente myndigheder med at anvende retshåndhævelsesdirektivet konsekvent 104 . Kommissionen har derfor oprettet og støtter netværket af databeskyttelsesrådgivere hos kompetente myndigheder, agenturer inden for retlige og indre anliggender og Den Europæiske Anklagemyndighed. Netværket er et permanent initiativ, der har til formål at sikre, at medlemsstaternes kompetente myndigheder anvender retshåndhævelsesdirektivet korrekt. Det sigter mod at etablere en platform for samarbejde og udveksling af ekspertise mellem medlemsstaternes databeskyttelsesrådgivere. Europol Data Protection Experts Network (EDEN) og de nationale netværk af kompetente myndigheders databeskyttelsesrådgivere er vigtige initiativer, der hjælper databeskyttelsesrådgiverne med at fremme udvekslingen af bedste praksis og oplysninger om anvendelsen af retshåndhævelsesdirektivet.
3.3Forbedret datasikkerhed, men forskelle med hensyn til anmeldelser af brud på datasikkerheden
Retshåndhævelsesdirektivet har forbedret sikkerheden for personoplysninger ved at kræve, at de kompetente myndigheder træffer foranstaltninger for at nå specifikke sikkerhedsmål. Det kræver f.eks., at de kompetente myndigheder foretager konsekvensanalyser vedrørende databeskyttelse, når en databehandlingsaktivitet sandsynligvis vil medføre en høj risiko for de registreredes rettigheder og frihedsrettigheder. Konsekvensanalyserne omfatter identificering af risici og foranstaltninger til at afbøde dem. Dette krav og den tvungne overholdelse af princippet om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger samt krav om anmeldelse af brud på datasikkerheden førte til en forbedring af sikkerheden i forbindelse med behandling af personoplysninger 105 .
Rådet har også anerkendt dette og konstateret, at retshåndhævelsesdirektivet har forbedret datasikkerhedsniveauet, herunder gennem sikkerhedsplaner, ajourføring af IT-systemer og organisatoriske foranstaltninger, konsekvensanalyse af databeskyttelse og krav om, at de kompetente myndigheder skal logge bestemte behandlingsaktiviteter 106 .
I retshåndhævelsesdirektivet fastsættes de omstændigheder, hvorunder de dataansvarlige skal underrette deres tilsynsmyndighed og den berørte registrerede om et brud på persondatasikkerheden 107 . På trods af denne forpligtelse er der stor forskel på det antal brud på datasikkerheden, der er blevet anmeldt til datatilsynsmyndighederne siden indførelsen af retshåndhævelsesdirektivet 108 . Seks datatilsynsmyndigheder rapporterede, at de ikke havde modtaget nogen anmeldelser af brud på datasikkerheden 109 , og flere andre rapporterede, at de kun havde modtaget ganske få sådanne anmeldelser. Den italienske myndighed havde f.eks. kun modtaget tre anmeldelser af brud på datasikkerheden, og den franske havde modtaget otte, mens den nederlandske myndighed havde modtaget over 500.
Denne forskel i antallet af indberettede anmeldelser af brud på datasikkerheden viser (efter hensyntagen til f.eks. befolkningsstørrelse), at der er forskellig praksis mellem medlemsstaternes kompetente myndigheder med hensyn til, hvad der betragtes som et brud, og hvornår det skal indberettes til en tilsynsmyndighed. Kommissionen bemærkede også dette i sin rapport om persondataforordningen 110 . Databeskyttelsesrådet har for nylig offentliggjort retningslinjer vedrørende brud på datasikkerheden i henhold til persondataforordningen 111 . Disse retningslinjer er også relevante for brud på datasikkerheden i henhold til retshåndhævelsesdirektivet. De bør derfor bidrage til en mere ensartet tilgang til håndtering af brud på datasikkerheden i henhold til retshåndhævelsesdirektivet på tværs af medlemsstaterne.
3.4Datatilsynsmyndighedernes tilsyn
3.4.1Datatilsynsmyndighedernes ressourcer
Det er en forudsætning for en effektiv udførelse af deres opgaver og udøvelsen af deres beføjelser, at de enkelte datatilsynsmyndigheder råder over de nødvendige menneskelige, tekniske og finansielle ressourcer, lokaler og infrastrukturer, og er derfor en væsentlig betingelse for deres uafhængighed 112 . Kommissionen har konsekvent understreget, at medlemsstaterne har pligt til at tildele tilstrækkelige menneskelige, finansielle og tekniske ressourcer til datatilsynsmyndighederne 113 . Rådet har også specifikt opfordret medlemsstaterne til at tildele tilstrækkelige menneskelige, tekniske og finansielle ressourcer til datatilsynsmyndighederne 114 .
Den generelle udvidelse af personalet hos datatilsynsmyndighederne i de senere år 115 synes imidlertid ikke at vedrøre opgaver med relation til retshåndhævelsesdirektivet. Antallet af medarbejdere, der arbejder med retshåndhævelsesdirektivet, er forblevet uændret eller er endda faldet hos halvdelen af datatilsynsmyndighederne 116 . En eventuel stigning har været meget beskeden og udgør i gennemsnit under to fuldtidsækvivalenter 117 . Hos næsten halvdelen af datatilsynsmyndighederne (herunder myndigheder med et samlet antal ansatte på over 100 fuldtidsækvivalenter) arbejder 1-7% af personalet med retshåndhævelsesdirektivet 118 . I absolutte tal tildeler ca. halvdelen af datatilsynsmyndighederne mellem en og fire fuldtidsækvivalenter til opgaver vedrørende retshåndhævelsesdirektivet, og otte datatilsynsmyndigheder tildeler mellem syv og 15 fuldtidsækvivalenter til sådanne opgaver. En datatilsynsmyndighed har imidlertid 53 fuldtidsækvivalenter, der arbejder med retshåndhævelsesdirektivet 119 . Databeskyttelsesrådets sekretariat har ligeledes afsat færre end 1,5 fuldtidsækvivalenter til spørgsmål, der udelukkende vedrører retshåndhævelsesdirektivet.
Denne situation er ikke tilfredsstillende, selv om ti datatilsynsmyndigheder har tilkendegivet, at de har tilstrækkelige finansielle, menneskelige og tekniske ressourcer 120 . 16 datatilsynsmyndigheder anførte på den anden side, at de ikke har tilstrækkelige ressourcer. Nogle af disse myndigheder bemærkede, at dette havde en negativ indvirkning på deres undersøgelser på eget initiativ 121 , deres behandling af klager 122 , kontrollen af store IT-systemer (SIS og VIS) og afgivelsen af udtalelser på eget initiativ 123 . Sektorens særlige karakteristika betyder, at en effektiv håndhævelse af retshåndhævelsesdirektivet kræver systematisk kontrol af behandlingsaktiviteter, som ofte er komplekse, og at dette ikke er tilstrækkeligt at basere sig på individuelle klager (som er langt færre end i forbindelse med persondataforordningen) 124 .
Datatilsynsmyndighederne har endvidere påpeget manglen på IT-ekspertise til at håndtere de stadig mere komplicerede IT-teknologier, der anvendes på retshåndhævelsesområdet 125 .
3.4.2Anvendelse af beføjelser
Anvendelse af korrigerende beføjelser
I alt 19 datatilsynsmyndigheder har anvendt deres undersøgelsesbeføjelser, enten på eget initiativ eller på grundlag af en klage 126 . Datatilsynsmyndigheder rapporterede kun om vanskeligheder i meget få tilfælde (f.eks. når en dataansvarlig ikke fremlagde alle de relevante oplysninger eller nægtede adgang til oplysninger) 127 .
De samme 19 datatilsynsmyndigheder anvendte også deres korrigerende beføjelser. Langt den hyppigst anvendte beføjelse var at udstede påbud om at bringe behandlingen i overensstemmelse med lovgivningen, herunder påbud om at berigtige eller slette personoplysninger eller begrænse behandlingen heraf. Datatilsynsmyndighederne anvendte denne beføjelse i 114 tilfælde. Den omstændighed, at denne beføjelse til at pålægge en midlertidig eller definitiv begrænsning (herunder et forbud) af behandling kun blev anvendt i fire tilfælde 128 , viser, at datatilsynsmyndighederne har anvendt disse beføjelser omhyggeligt.
Anvendelse af rådgivningsbeføjelser
Systematisk forudgående høring og anmodning om en udtalelse fra datatilsynsmyndighederne om udkast til lovgivningsmæssige og administrative foranstaltninger er et effektivt middel til at sikre et højt beskyttelsesniveau for retten til beskyttelse af personoplysninger og mindske antallet af efterfølgende klager. Forudgående høring af datatilsynsmyndighederne er af særlig betydning, når der anvendes nye teknologier, som kan have en betydelig indvirkning på de grundlæggende rettigheder.
Halvdelen af datatilsynsmyndighederne rapporterede, at de var blevet hørt om konsekvensanalyser vedrørende databeskyttelse. Antallet af forudgående høringer varierer fra medlemsstat til medlemsstat. Nogle myndigheder blev kun hørt én gang, mens en anden myndighed deltog i 59 forudgående høringer 129 . I de fleste af disse tilfælde ydede datatilsynsmyndighederne skriftlig rådgivning og anvendte i nogle tilfælde deres korrigerende beføjelser i forbindelse med behandlingen — de udstedte navnlig advarsler eller beordrede foranstaltninger til at bringe databehandlingen i overensstemmelse med lovgivningen. I et tilfælde afgav datatilsynsmyndigheden en negativ udtalelse, som øjensynligt har haft samme virkning som et forbud mod behandling.
Datatilsynsmyndighederne behandler tilsyneladende også anmodninger om rådgivning uden for den forudgående høringsprocedure. Den mest almindelige type spørgsmål, hvor de kompetente myndigheder henvendte sig til datatilsynsmyndighederne for at få rådgivning om specifikke typer behandling (navnlig anvendelse af nye teknologier, mekanismer eller procedurer, tæt fulgt af passende sikkerhedsforanstaltninger, behandling af særlige kategorier af personoplysninger, fastlæggelse af retsgrundlaget for behandlingen, princippet om begrænsning af opbevaring og passende tidsfrister 130 ).
22 datatilsynsmyndigheder afgav desuden udtalelser til deres nationale parlamenter og regeringer om lovgivningsmæssige og administrative foranstaltninger vedrørende behandling af personoplysninger. Flere anførte, at de lejlighedsvis bliver hørt 131 .
3.4.3Domstolsprøvelse af datatilsynsmyndighedernes foranstaltninger
Næsten halvdelen af datatilsynsmyndighederne anførte, at der i få tilfælde blev anlagt retssag mod dem vedrørende deres afgørelser eller passivitet. Sagerne blev hovedsagelig indledt af registrerede og i nogle få tilfælde af kompetente myndigheder 132 . Flere sager var blevet afvist af domstolene eller var blevet trukket tilbage af sagsøgerne. Retten stadfæstede databeskyttelsesmyndighedens afgørelse i de fleste af de resterende sager, men omstødte den i nogle tilfælde (og andre sager verserede stadig). Det begrænsede antal domme, der hidtil er afsagt, betyder, at det endnu ikke er muligt at påvise en klar tendens.
3.4.4Databeskyttelsesrådets retningslinjer
Konsekvens og et højt beskyttelsesniveau mellem medlemsstaterne er afgørende for at sikre et effektivt retligt samarbejde i straffesager og politisamarbejde 133 . I henhold til retshåndhævelsesdirektivet udsteder databeskyttelsesrådet retningslinjer, henstillinger og bedste praksis (på eget initiativ eller på Kommissionens anmodning) for at sikre, at medlemsstaterne anvender retshåndhævelsesdirektivet på en ensartet måde. Databeskyttelsesrådet har udarbejdet retningslinjer specifikt vedrørende retshåndhævelsesdirektivet, som er relevante for kapitel V (internationale overførsler) 134 , retningslinjer for brug af ansigtsgenkendelsesteknologier 135 og (i dets tidligere egenskab af Artikel 29-Gruppen) en udtalelse om visse centrale dele af retshåndhævelsesdirektivet 136 .
Mange af Databeskyttelsesrådets retningslinjer vedrørende persondataforordningen er også relevante for retshåndhævelsesdirektivet, for så vidt som de benytter fælles koncepter eller teknologier. Sådanne retningslinjer omfatter retningslinjerne vedrørende begrebet dataansvarlig og databehandler 137 , registreredes rettigheder 138 , anmeldelse af brud på persondatasikkerheden 139 , konsekvensanalyser vedrørende databeskyttelse 140 , princippet om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger 141 og individuelle automatiske afgørelser 142 .
Udarbejdelsen af omfattende og praktiske retningslinjer kræver et betydeligt arbejde og betydelige ressourcer, men vejledning er afgørende (som Rådet også har bemærket 143 ). Det er derfor meget positivt, at Databeskyttelsesrådet har tilkendegivet, at det snart vil give yderligere vejledning, herunder om begrebet datatilsynsmyndighedernes effektive undersøgelsesbeføjelser og korrigerende beføjelser og om internationale overførsler, som er underlagt særlige garantier.
Databeskyttelsesrådets retningslinjer kan også reducere datatilsynsmyndighedernes arbejdsbyrde (f.eks. opgaver som rådgivning af dataansvarlige eller behandling af klager). Flere af de spørgsmål, som behandles i Artikel 29-Gruppens udtalelse om centrale dele af retshåndhævelsesdirektivet (f.eks. relevante tidsfrister, retsgrundlaget for behandling og betingelserne for behandling af særlige kategorier af oplysninger), er blandt nogle af de hyppigst forekommende spørgsmål, som de kompetente myndigheder har anmodet datatilsynsmyndighederne om rådgivning om 144 .
3.4.5Gensidig bistand
For at sikre en ensartet anvendelse af retshåndhævelsesdirektivet skal datatilsynsmyndigheder yde gensidig bistand til hinanden. Dette omfatter bistand i form af anmodninger om oplysninger og anmodninger om at gennemføre høringer, inspektioner og undersøgelser 145 . Gensidig bistand er imidlertid kun sjældent blevet udnyttet indtil videre. Kun seks datatilsynsmyndigheder har benyttet denne mulighed, primært som svar på anmodninger om oplysninger fra datatilsynsmyndigheder. De fleste datatilsynsmyndigheder anførte, at de kun havde modtaget én anmodning om oplysninger. Alle disse datatilsynsmyndigheder oplyste, at de efterkom den modtagne anmodning. Den frivillige udveksling af gensidig bistand, som ikke er underlagt en lovbestemt frist eller en ubetinget forpligtelse til at svare, er heller ikke blevet anvendt. Databeskyttelsesrådet har erklæret, at det vil offentliggøre retningslinjer for gensidig bistand inden for rammerne af persondataforordningen og retshåndhævelsesdirektivet 146 .
3.5Fleksibelt instrument til internationale dataoverførsler
Retshåndhævelsesdirektivets kapitel V omhandler overførsel af personoplysninger til kompetente myndigheder i tredjelande og internationale organisationer. Som bemærket ovenfor er en sådan kontinuitet i beskyttelsen en vigtig forudsætning for et hurtigt, effektivt og juridisk sikkert retshåndhævelsessamarbejde mellem betroede partnere.
I henhold til de relevante regler i retshåndhævelsesdirektivet 147 skal internationale overførsler mellem kompetente myndigheder som omhandlet i retshåndhævelsesdirektivet være baseret på et af de forskellige overførselsværktøjer, der er omhandlet i retshåndhævelsesdirektivets artikel 36-38 (hvis oplysningerne stammer fra en anden medlemsstat, skal overførslen også på forhånd godkendes af den pågældende medlemsstat). Disse værktøjer omfatter afgørelser om tilstrækkeligheden af beskyttelsesniveauet, videregivelse baseret på fornødne garantier og anvendelse af undtagelser i særlige situationer. I henhold til retshåndhævelsesdirektivets artikel 39 kan der også foretages direkte overførsler til modtagere, som ikke er retshåndhævende myndigheder, som er etableret i tredjelande, i enkeltstående og specifikke tilfælde og på flere betingelser.
3.5.1Afgørelser om tilstrækkeligheden af beskyttelsesniveauet
Kommissionen har fremskyndet sit arbejde for at udnytte det fulde potentiale af de værktøjer, der er til rådighed under retshåndhævelsesdirektivet. Dette omfattede for første gang vedtagelsen af en "afgørelse om tilstrækkeligheden af beskyttelsesniveauet", der omfatter databehandlingsaktiviteter med henblik på retshåndhævelse i henhold til retshåndhævelsesdirektivets artikel 36, med Det Forenede Kongerige i juni 2021 148 . Denne afgørelse om tilstrækkeligheden af beskyttelsesniveauet muliggør sikker og fri udveksling af personoplysninger med de kompetente myndigheder i det pågældende tredjeland, uden at der er behov for yderligere garantier eller særlig godkendelse (medmindre en anden medlemsstat, hvor oplysningerne er indhentet, skal godkende overførslen 149 ). Afgørelsen om tilstrækkeligheden af beskyttelsesniveauet for Det Forenede Kongerige fra juni 2021 er et afgørende grundlag for politisamarbejde og retligt samarbejde efter brexit, som i henhold til handels- og samarbejdsaftalen mellem EU og Det Forenede Kongerige er baseret på "parternes mangeårige forpligtelse til at sikre et højt beskyttelsesniveau for personoplysninger" 150 . I henhold til retshåndhævelsesdirektivets artikel 36, stk. 4, overvåger Kommissionen løbende enhver udvikling i Det Forenede Kongeriges retlige rammer, der kan påvirke virkningen af denne afgørelse. Denne afgørelse om tilstrækkeligheden af beskyttelsesniveauet for Det Forenede Kongerige forventes at finde anvendelse i en periode på fire år efter dens ikrafttræden, som i princippet kan forlænges med yderligere fire år, hvis Kommissionens overvågning bekræfter, at Det Forenede Kongerige stadig opretholder et tilstrækkeligt beskyttelsesniveau 151 .
Databeskyttelsesrådet har endvidere også bidraget til udviklingen af dette instrument ved at præcisere den retlige standard gennem vejledning om de elementer, der skal tages i betragtning ved vurderingen af tilstrækkeligheden i forbindelse med retshåndhævelse, med udstedelsen af dets reference vedrørende et tilstrækkeligt beskyttelsesniveau i retshåndhævelsesdirektivet 152 . Tredjelandet skal navnlig sikre individuelle, der kan håndhæves, effektiv domstolsprøvelse og uafhængigt tilsyn.
Kommissionen fremmer aktivt muligheden for sådanne afgørelser om tilstrækkeligheden af beskyttelsesniveauet i samarbejde med andre vigtige internationale partnere, navnlig de lande, hvor der er behov for et tæt og hurtigt samarbejde om bekæmpelsen af kriminalitet og terrorisme, og hvor der allerede udveksles store mængder personoplysninger 153 . Der er endnu ikke vedtaget andre afgørelser om tilstrækkeligheden af beskyttelsesniveauet, men dette skyldes hovedsagelig, at dette instrument først er blevet indført for nylig. Hertil kommer, at den globale konvergens mellem databeskyttelsesreglerne inden for retshåndhævelse på det strafferetlige område først nu er begyndt at udvikle sig (f.eks. baseret på multilaterale ordninger såsom den moderniserede Europarådets konvention 108 eller den anden tillægsprotokol til Budapestkonventionen om IT-kriminalitet), i modsætning til databehandling foretaget af kommercielle operatører. Ikke desto mindre vil erfaringerne fra vedtagelsen af tilstrækkelighedsafgørelsen med Det Forenede Kongerige bidrage til at bane vejen for lignende initiativer i de kommende år. Kommissionen vil som led i sin internationale strategi overveje andre mulige kandidater til fremtidige tilstrækkelighedsafgørelser i henhold til retshåndhævelsesdirektivet og vil gøre dette i direkte kontakt med andre relevante EU-institutioner og -organer 154 . Med henblik herpå og i overensstemmelse med betragtning 68 til retshåndhævelsesdirektivet vil Kommissionen lægge særlig vægt på de vurderede landes internationale forpligtelser med hensyn til beskyttelse af personoplysninger, herunder tiltrædelse af de førnævnte multilaterale ordninger eller andre retshåndhævelsesinstrumenter, der giver fornødne databeskyttelsesgarantier.
3.5.2Fornødne garantier
Retshåndhævelsesdirektivet indeholder andre overførselsinstrumenter ud over den omfattende løsning med en afgørelse om tilstrækkeligheden af beskyttelsesniveauet. Fleksibiliteten i denne "værktøjskasse" afspejles i retshåndhævelsesdirektivets artikel 37, som regulerer dataoverførsler baseret på "fornødne garantier" med hensyn til beskyttelse af personoplysninger. Sådanne fornødne garantier kan fastsættes ved et retligt bindende instrument, eller hvis den dataansvarlige på grundlag af en vurdering af alle omstændighederne omkring overførslen konkluderer, at der foreligger fornødne garantier (den såkaldte "egenvurdering" i forbindelse med overførsler).
I de første år af retshåndhævelsesdirektivets anvendelse fokuserede Kommissionen navnlig på bindende retlige instrumenter i form af internationale aftaler, der fastsætter de fornødne garantier. Sådanne aftaler spiller en vigtig rolle i forbindelse med både "traditionelle" (dvs. samarbejde mellem kompetente myndigheder) og andre former for retshåndhævelsessamarbejde (dvs. samarbejde, der involverer tredjeparter, f.eks. private virksomheder). De kan også udgøre et grundlag for Europols og Eurojusts dataoverførsler inden for deres respektive retlige rammer, hvis regler om internationale overførsler ligner reglerne i retshåndhævelsesdirektivet.
Med hensyn til traditionelle former for retshåndhævelsessamarbejde reviderer Kommissionen aktuelt de internationale aftaler, der blev indgået inden retshåndhævelsesdirektivets ikrafttræden, med henblik på at sikre overensstemmelse med EU's moderniserede databeskyttelsesordning 155 .
Kommissionen vurderer for det første databeskyttelsesbestemmelserne i Europols eksisterende samarbejdsaftaler 156 med tredjelande, som er indgået inden den 1. maj 2017, jf. forordning (EU) 2016/794 om Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde ("Europolforordningen) 157 . I overensstemmelse med artikel 9 i protokol nr. 36 til traktaten om Den Europæiske Union 158 og TEUF (om overgangsbestemmelser) er retsvirkningerne af disse aftaler blevet bevaret, indtil disse aftaler ophæves, annulleres eller ændres 159 . Kommissionen vil underrette Europa-Parlamentet og Rådet om resultaterne af denne vurdering og vil, hvis det er relevant, forelægge Rådet en henstilling med henblik på en afgørelse om bemyndigelse til indledning af forhandlinger om ændring af de pågældende aftaler, jf. artikel 218 i TEUF. Dette er en kompleks opgave, som indebærer en vurdering af 18 aftaler, og som blev forsinket af de forsinket af de forstyrrelser, som covid-19-pandemien har forårsaget. Kommissionen forventer at afslutte sin vurdering i andet halvår 2022.
Overensstemmelse mellem alle retshåndhævelsessamarbejdsmekanismer og reglerne i retshåndhævelsesdirektivet er et vejledende princip, som Kommissionen også følger, når den forhandler nye aftaler om Europols overførsel af personoplysninger til tredjelande eller internationale organisationer. Siden den nuværende Europolforordning trådte i kraft i 2017, har artikel 218 i TEUF været retsgrundlaget for sådanne internationale aftaler, der sikrer de fornødne garantier. I 2018 og 2019 vedtog Rådet ni mandater til Kommissionen om indledning af forhandlinger med tredjelande på Unionens vegne. Kommissionen har også fået bemyndigelse til at indlede forhandlinger om en samarbejdsaftale med Interpol om udveksling af data med en række EU-organer og -agenturer. I alle disse tilfælde har Rådet udstedt forhandlingsdirektiver til Kommissionen med henblik på at sikre, at de fornødne garantier for beskyttelse af personoplysninger og fysiske personers øvrige grundlæggende rettigheder og frihedsrettigheder medtages. Der er desuden gjort fremskridt i forhandlingerne med Israel. Med hensyn til Tyrkiet er forhandlingerne på et fremskredent stadium, men kan ikke afsluttes, før Tyrkiet har vedtaget de nødvendige reformer af landets databeskyttelseslovgivning. Der blev givet lignende bemyndigelser i marts 2021 til forhandling af samarbejdsaftaler om Eurojusts udveksling af oplysninger med 13 tredjelande.
Kommissionen gennemfører for det andet aktuelt den første fælles revision af aftalen mellem Amerikas Forenede Stater og Den Europæiske Union om beskyttelse af personoplysninger i forbindelse med forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger (paraplyaftalen). Paraplyaftalen, som trådte i kraft i februar 2017, indeholder et omfattende og harmoniseret sæt databeskyttelsesregler, som gælder for alle transatlantiske udvekslinger mellem kompetente myndigheder. Den supplerer de eksisterende aftaler mellem EU og USA og mellem retshåndhævende myndigheder i EU's medlemsstater og USA, fastsætter en standard for et højt beskyttelsesniveau for fremtidige aftaler på dette område og styrker samarbejdet om retshåndhævelse ved at lette udvekslingen af oplysninger. Den fælles revision har til formål at vurdere den effektive gennemførelse af paraplyaftalen, navnlig med hensyn til bestemmelserne om videreoverførsel, individuelle rettigheder og domstolsprøvelse. Tidsplanen for den fælles revision blev påvirket af forstyrrelserne i forbindelse med covid-19-pandemien og af de parallelle forhandlinger om den anden tillægsprotokol til Budapestkonventionen om IT-kriminalitet 160 . Kommissionen forventer, at dette arbejde vil blive afsluttet i andet halvår 2022.
Som den første bilaterale internationale aftale, der indeholder et omfattende katalog af databeskyttelsesrettigheder og -forpligtelser, er paraplyaftalen et referencepunkt for forhandlinger om lignende rammeaftaler med vigtige partnere på området for strafferetlig håndhævelse 161 . I denne sammenhæng vil Kommissionen også tage hensyn til den relevante udvikling, herunder Databeskyttelsesrådets retningslinjer, EU-Domstolens retspraksis og resultatet af internationale forhandlinger om databeskyttelsesgarantier på dette område (f.eks. den anden tillægsprotokol til Budapestkonventionen om IT-kriminalitet eller Europolaftalen med New Zealand 162 ).
Kommissionen har for det tredje udpeget aftalen mellem Den Europæiske Union og Japan om gensidig retshjælp i straffesager 163 som en EU-retsakt om databehandling (overførsler) med henblik på strafferetlig håndhævelse, som skal ændres for at sikre de fornødne databeskyttelsesgarantier i overensstemmelse med retshåndhævelsesdirektivet. Efter Rådets vedtagelse af en afgørelse 164 om bemyndigelse til at indlede forhandlinger om ændring af aftalen om gensidig retshjælp i straffesager mellem EU og Japan følger Kommissionen op på de indledende kontakter med de japanske myndigheder med henblik på at indlede forhandlinger så hurtigt som muligt.
Desuden benyttes der i stigende grad andre former for samarbejde, som er tilpasset de specifikke udfordringer og behov i forbindelse med strafferetlige efterforskninger i den moderne digitale økonomi. Disse vedrører hovedsagelig forstærket samarbejde inden for IT-kriminalitet og indsamling af elektronisk bevismateriale vedrørende strafbare handlinger. Dette samarbejde omfatter direkte samarbejde med private parter om adgang til elektronisk bevismateriale.
Kommissionen har også samarbejdet med internationale partnere med henblik på at sikre, at disse andre (vigtige) former for samarbejde kan finde sted på grundlag af fornødne databeskyttelsesgarantier.
Kommissionen repræsenterede for det første EU under forhandlingerne 165 under Europarådets forhandlinger om en anden tillægsprotokol til Budapestkonventionen om IT-kriminalitet 166 . Protokollen, som blev godkendt af Europarådets Ministerkomité den 17. november 2021, indeholder stærke garantier for beskyttelsen af de grundlæggende rettigheder, herunder en artikel 167 med detaljerede bestemmelser om beskyttelse af personoplysninger, der overføres i henhold til protokollen. Disse bestemmelser dækker alle de væsentlige databeskyttelsesprincipper, -rettigheder og -forpligtelser, der er anerkendt i EU-retten. Disse garantier suppleres af en overvågningsbestemmelse og af muligheden for at suspendere overførsler i tilfælde af systematisk eller væsentlig overtrædelse af garantierne i protokollen, f.eks. mangel på effektive retsmidler. Gennem disse bestemmelser fastsættes der fornødne garantier i overensstemmelse med kravene i retshåndhævelsesdirektivets artikel 37, stk. 1, litra a) 168 . Dette er et vigtigt resultat i betragtning af de forskelligartede medlemmer af Budapestkonventionen, som i øjeblikket har 66 statslige parter med meget forskellige retlige baggrunde og traditioner. Det vil give medlemsstaternes kompetente myndigheder mulighed for at drage fordel af et effektivt grænseoverskridende samarbejde om bekæmpelse af IT-kriminalitet, samtidig med at der sikres respekt for EU's værdier som afspejlet i EU's charter om grundlæggende rettigheder, EU-traktaterne og afledt EU-ret. I betragtning af det store antal parter i Budapestkonventionen, som i øjeblikket omfatter lande fra hele verden, vil protokollen også bidrage til at fremme høje databeskyttelsesstandarder for databehandling inden for retshåndhævelse på det strafferetlige område på globalt plan. Protokollen blev åbnet for undertegnelse den 12. maj 2022, og i alt 22 parter i Budapestkonventionen (herunder 13 EU-medlemsstater) har allerede undertegnet den.
Kommissionen har for det andet indledt forhandlinger om en bilateral aftale med USA om grænseoverskridende adgang til elektronisk bevismateriale med henblik på retligt samarbejde i straffesager 169 . Denne aftale har til formål at dække elektronisk bevismateriale i form af både andre data end personoplysninger og personoplysninger, herunder trafik- og indholdsdata. Det er vigtigt at bemærke, at forhandlingerne også sigter mod at medtage yderligere databeskyttelsesgarantier, der kan supplere garantierne i paraplyaftalen, under hensyn til navnlig følsomheden af de pågældende kategorier af data samt kravene til tjenesteudbyderes direkte overførsel af elektronisk bevismateriale. Fremskridtene med disse forhandlinger vil i høj grad afhænge af fremskridtene i den igangværende lovgivningsproces vedrørende EU's pakke om elektronisk bevismateriale 170 .
Disse forskellige initiativer fra Kommissionens side, som har til formål at udvikle internationale instrumenter, der kan lette retshåndhævelsessamarbejdet med internationale partnere og samtidig sikre de fornødne databeskyttelsesgarantier, er blevet støttet af både Databeskyttelsesrådet og EDPS. Dette omfatter Databeskyttelsesrådets erklæring om udkastet til den anden tillægsprotokol til Budapestkonventionen 171 og EDPS' udtalelser om udkastene til forhandlingsmandater for internationale aftaler i henhold til artikel 218 i TEUF, som vil gøre det muligt for Europol og Eurojust at udveksle personoplysninger med tredjelande eller internationale organisationer 172 . Databeskyttelsesrådet udsendte også en erklæring, hvori det opfordrede medlemsstaterne til at vurdere og om nødvendigt revidere internationale aftaler, der omfatter internationale overførsler af personoplysninger 173 . Denne erklæring vedrører aftaler, der er indgået inden den 6. maj 2016, herunder vedrørende strafferetlig håndhævelse), og opfordrer medlemsstaterne til at fastlægge, om der er behov for yderligere tilpasning til EU's databeskyttelseslovgivning og retspraksis.
I henhold til retshåndhævelsesdirektivets artikel 37 tillades også internationale dataoverførsler baseret på en kompetent myndigheds egenvurdering af, om et tredjeland (eller en international organisation) har fastsat de fornødne databeskyttelsesgarantier. I disse tilfælde skal myndigheden dokumentere overførslen (herunder dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og de overførte personoplysninger), og dokumentationen skal stilles til rådighed for tilsynsmyndigheden efter anmodning (retshåndhævelsesdirektivets artikel 37, stk. 3). Feedback fra medlemsstaterne 174 viser, at dette værktøj sjældent er blevet anvendt.
For at medlemsstaterne kan udnytte mulighederne for overførsler i henhold til retshåndhævelsesdirektivet fuldt ud, er det vigtigt, at Databeskyttelsesrådet intensiverer sit igangværende arbejde med de forskellige overførselsmekanismer. Det bør bl.a. vejlede om mekanismerne i retshåndhævelsesdirektivets artikel 37, stk. 1, navnlig om overførsler baseret på de kompetente myndigheders egenvurderinger. Rådet har også understreget dette behov 175 .
3.5.3Anvendelse af undtagelser
Endelig udgør de såkaldte "undtagelser" en vigtig begrundelse for overførsler på visse betingelser, som er fastsat i retshåndhævelsesdirektivets artikel 38. Disse betingelser sikrer en balance mellem hensynet til privatlivets fred og de kompetente myndigheders operationelle behov. Artikel 38, stk. 1, giver navnlig mulighed for overførsler og endda kategorier af overførsler af personoplysninger, hvis dette er nødvendigt for at afværge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed 176 , eller i enkeltsager med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger 177 . I modsætning til undtagelser, jf. persondataforordningens artikel 49, findes der i øjeblikket ingen vejledning for undtagelser omhandlet i retshåndhævelsesdirektivets artikel 38.
3.5.4Effektivt politisamarbejde og retligt samarbejde på tværs af grænserne
Retshåndhævelsesdirektivet er blevet et internationalt referencepunkt for databeskyttelse i forbindelse med retshåndhævelse og har fået lande i hele verden til at overveje at indføre moderne regler om privatlivets fred på dette område. Dette er en meget positiv udvikling, der giver nye muligheder for bedre at beskytte enkeltpersoner i EU, når deres data overføres til udlandet med henblik på retshåndhævelse, samtidig med at datastrømme, der kan bidrage til at bekæmpe kriminalitet, lettes.
Mere generelt er det vigtigt at sikre, at virksomheder, som er aktive på det europæiske marked, der modtager direkte anmodninger om samarbejde, som omfatter deling af personoplysninger med henblik på retshåndhævelse, kan gøre dette uden at opleve lovkonflikter og i fuld respekt for EU's grundlæggende rettigheder 178 . For at forbedre sådanne overførsler er Kommissionen fast besluttet på at udvikle passende retlige rammer sammen med sine internationale partnere for at undgå lovkonflikter og støtte effektive samarbejdsformer, navnlig ved at sikre de nødvendige databeskyttelsesgarantier, og derved bidrage til en mere effektiv bekæmpelse af kriminalitet.
På denne baggrund har Kommissionen engageret sig i bilaterale, regionale og multilaterale fora for aktivt at fremme international konvergens mellem databeskyttelsesstandarder for samarbejde om retshåndhævelse på det strafferetlige. Gennem dialoger med flere udenlandske partnerlande om igangværende reformer af databeskyttelseslovgivningen har Kommissionens tjenestegrene deltaget i udarbejdelsen af regler for kompetente myndigheders behandling af personoplysninger på forskellige måder (f.eks. indlæg som svar på offentlige høringer, deltagelse i parlamentariske høringer og særlige møder med regeringsrepræsentanter og politikere).
I en regional og multilateral sammenhæng støtter Kommissionen f.eks. kapacitetsopbygningsprojekter i forbindelse med gennemførelsen af Europarådets Budapestkonvention om IT-kriminalitet 179 . Disse projekter omfatter GLACY+-programmet, som har til formål at styrke staternes kapacitet til at anvende lovgivning om IT-kriminalitet og forbedre deres kapacitet til at samarbejde effektivt på internationalt plan i overensstemmelse med Budapestkonventionen og dens tillægsprotokoller. Dette indebærer også udvikling af databeskyttelseslovgivning for databehandling på dette område. Programmet støtter i øjeblikket 17 prioriterede lande og knudepunkter i Afrika, Asien og Stillehavsområdet, Latinamerika og Caribien.
Kommissionen har også samarbejdet med Ameripol, en politisamarbejdsorganisation, der har deltagelse af 18 latinamerikanske lande, i forbindelse med udviklingen af en databeskyttelsesramme for udveksling af oplysninger mellem Ameripol og dets medlemslande. Dette engagement finder sted gennem EL PAcCTO: Support to Ameripol, et projekt, der har til formål at forbedre det internationale samarbejde mellem politi-, rets- og anklagemyndighederne i partnerlandene om bekæmpelse af organiseret kriminalitet.
Kommissionen fremmer også den moderniserede konvention 108 (også kaldet konvention 108+) 180 , som også finder anvendelse databehandling med henblik på strafferetlig håndhævelse. Denne konvention, som også er åben for ikke-medlemmer af Europarådet, er vigtig, ikke blot fordi den er den eneste multilaterale bindende aftale om databeskyttelse, men også fordi den gennem konventionens komité udgør et forum af bedste praksis og fastsættelse af globale standarder 181 . Som led i sin internationale strategi for datastrømme opfordrer Kommissionen tredjelande til at tiltræde konvention 108+.
Endelig opfordrer Kommissionen til større konvergens på internationalt plan ved at dele erfaringer med databeskyttelsesaspekterne af samarbejdet om retshåndhævelse på det strafferetlige område med partnere. Kommissionens "databeskyttelsesakademi", som er en del af projektet "International Digital Cooperation — Enhanced Data Protection and Data Flows", der finansieres af det udenrigspolitiske instrument, er et vigtigt redskab i denne forbindelse. Akademiet blev oprettet for at fremme udveksling mellem reguleringsmyndigheder i EU og tredjelande og for at forbedre det praktiske samarbejdet. Akademiets aktiviteter dækker alle aspekter af tilsynet med databeskyttelse, herunder på området for retshåndhævelse.
4Det videre forløb
For at sikre en effektiv EU-sikkerhedspolitik, der fuldt ud respekterer den grundlæggende ret til beskyttelse af personoplysninger, vil Kommissionen fortsat kontrollere, at medlemsstaterne har gennemført retshåndhævelsesdirektivet korrekt, og overvåge anvendelsen af dets bestemmelser.
Retshåndhævelsesdirektivet har i høj grad bidraget til et mere harmoniseret og højere beskyttelsesniveau for enkeltpersoners rettigheder og til en mere sammenhængende retlig ramme for de kompetente myndigheder.
Retshåndhævelsesdirektivet er gennemført på tilfredsstillende vis, men der er konstateret en række problemer. Kommissionen har allerede indledt traktatbrudsprocedurer vedrørende både manglende gennemførelse og manglende overensstemmelse mellem national lovgivning og retshåndhævelsesdirektivet. Den vil fortsat arbejde på at sikre en fuldstændig og korrekt gennemførelse.
Retshåndhævelsesdirektivet har medvirket til at øge bevidsthed om og opmærksomheden på databeskyttelse hos de kompetente myndigheder, også med hensyn til behandlingssikkerhed.
Datatilsynsmyndighedernes aktive tilsyn er afgørende for at sikre, at retshåndhævelsesdirektivets mål nås i praksis. Myndighederne skal derfor tildeles alle de former for beføjelser, der kræves i retshåndhævelsesdirektivet, og de fornødne ressourcer.
På nuværende tidspunkt bør der fokuseres på at realisere retshåndhævelsesdirektivets fulde potentiale. I denne sammenhæng og i betragtning af de begrænsede erfaringer med disse nye regler er det efter Kommissionens opfattelse for tidligt at overveje en revision af retshåndhævelsesdirektivet.
Kommissionen vil fortsat arbejde aktivt sammen med alle relevante parter med henblik på den næste evaluering, der skal gennemføres i 2026. I mellemtiden vil Kommissionen fortsat arbejde for at sikre overensstemmelse med anden EU-lovgivning, som er relevant for behandling af personoplysninger med henblik på strafferetlig håndhævelse.
Retlig ramme
Kommissionen vil:
-fortsat vurdere medlemsstaternes gennemførelse af retshåndhævelsesdirektivet og træffe de fornødne foranstaltninger, hvor det er nødvendigt (herunder indledning af traktatbrudsprocedurer)
-fortsætte bilaterale udvekslinger med medlemsstaterne
-sikre, at fremtidige lovgivningsforslag er i overensstemmelse med retshåndhævelsesdirektivet.
Medlemsstaterne skal:
-sikre en fuldstændig og korrekt gennemførelse af retshåndhævelsesdirektivet på nationalt plan, herunder ved at specificere de nødvendige krav vedrørende retshåndhævelse, hvis dette ikke er omfattet af de nationale databeskyttelsesretsakter om gennemførelse af retshåndhævelsesdirektivet.
Datatilsynsmyndighedernes tilsyn
Medlemsstaterne skal:
-give datatilsynsmyndighederne tilstrækkelige ressourcer til at udføre deres opgaver på retshåndhævelsesområdet
-sikre, at datatilsynsmyndighederne kan udøve alle de former for beføjelser, der er fastsat i retshåndhævelsesdirektivet
-systematisk høre deres tilsynsmyndigheder om udkast til generel lovgivning og administrative foranstaltninger, der vedrører beskyttelse af personoplysninger, og tage behørigt hensyn til deres holdninger (navnlig med hensyn til nye teknologier).
Datatilsynsmyndigheder opfordres til at:
-gøre fuld brug af deres undersøgelsesbeføjelser, herunder ved at foretage inspektioner på eget initiativ
-indsamle specifikke statistikker vedrørende deres tilsynsaktiviteter i henhold til retshåndhævelsesdirektivet
-anvende værktøjerne for gensidig bistand og udvikle praktiske foranstaltninger, der kan fremme anmodninger om bistand, herunder gennem Databeskyttelsesrådets planlagte retningslinjer.
Databeskyttelsesrådet opfordres til at:
-udvide støttepuljen af eksperter 182 vedrørende opgaver med relation til retshåndhævelsesdirektivet.
Støtte til kompetente myndigheder
Kommissionen vil:
-fremme drøftelser og udveksling af erfaringer mellem medlemsstaterne og Kommissionen i medlemsstaternes ekspertgruppe om retshåndhævelsesdirektivet
-fremme udvekslingen af synspunkter mellem databeskyttelsesrådgivere gennem netværket af databeskyttelsesrådgivere.
Medlemsstaterne opfordres til at:
-fortsætte arbejdet med at tilbyde uddannelse i databeskyttelseskrav til kompetente myndigheder, herunder i forbindelse med nye teknologier.
Databeskyttelsesrådet og databeskyttelsestilsynsmyndighederne opfordres til at:
-øge deres indsats for at vedtage relevante retningslinjer (f.eks. om den rolle, som samtykke spiller i forbindelse med behandling af personoplysninger med henblik på strafferetlig håndhævelse, og om registreredes rettigheder, herunder deres mulige begrænsninger) ved at vedtage nye selvstændige retningslinjer eller ved at supplere de retningslinjer, der allerede er vedtaget for persondataforordningen.
Grænseoverskridende dataoverførsel
Kommissionen har til hensigt at:
-fremme eventuelle nye afgørelser om et tilstrækkeligt beskyttelsesniveau over for vigtige internationale partnere
-forhandle nye samarbejdsaftaler mellem Europol og Eurojust på den ene side og tredjelande på den anden. Kommissionen vil om nødvendigt søge at genforhandle Europols eksisterende samarbejdsaftaler for at sikre, at de omfatter de fornødne databeskyttelsesgarantier
-indlede forhandlinger med Japan med henblik på at ændre den eksisterende aftale mellem EU og Japan om gensidig retshjælp for at sikre de fornødne databeskyttelsesgarantier
-fortsætte og afslutte forhandlingerne om en bilateral aftale med USA om grænseoverskridende adgang til elektronisk bevismateriale inden for retligt samarbejde i straffesager, herunder ved at supplere de databeskyttelsesgarantier, der er fastsat i paraplyaftalen mellem EU og USA, for at afspejle den specifikke kontekst med direkte samarbejde mellem retshåndhævende myndigheder og tjenesteudbydere
-undersøge muligheden for at indgå rammeaftaler om databeskyttelse i forbindelse med databehandling med henblik på strafferetlig håndhævelse med vigtige partnere på retshåndhævelsesområdet baseret på paraplyaftalen mellem EU og USA.
Databeskyttelsesrådet opfordres til at:
-vedtage retningslinjer for yderligere at præcisere begrebet og indholdet af "fornødne garantier" (retshåndhævelsesdirektivets artikel 37) samt anvendelsen af undtagelser (retshåndhævelsesdirektivets artikel 38).
Fremme af konvergens og udvikling af internationalt samarbejde
Kommissionen vil:
-udvide sit samarbejde med internationale partnere med henblik på at styrke konvergensen mellem databeskyttelsesreglerne på området for strafferetlig håndhævelse, herunder ved at fremme tiltrædelsen af konvention 108+, den eneste bindende globale aftale om databeskyttelse
-fremme bilateralt, regionalt og multilateralt samarbejde og støtte kapacitetsopbygningsprojekter på området for databeskyttelse og politisamarbejde. Dette omfatter uddannelse og udveksling af viden og bedste praksis gennem databeskyttelsesakademiet.
Medlemsstaterne opfordres til:
-hurtigt at ratificere den anden tillægsprotokol til Europarådets Budapestkonvention om IT-kriminalitet, så snart de er bemyndiget hertil ved en rådsafgørelse.
-
(1)
Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
-
(2)
Retshåndhævelsesdirektivets artikel 1, stk. 1.
-
(3)
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (EUT L 119 af 4.5.2016, s. 1).
-
(4)
Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
-
(5)
Den Europæiske Unions charter om grundlæggende rettigheder (EUT C 202 af 26.10.2012, s. 389).
-
(6)
Konsolideret udgave af traktaten om Den Europæiske Unions funktionsmåde (EUT C 202 af 7.6.2016, s. 47).
-
(7)
Retshåndhævelsesdirektivets artikel 63, stk. 1.
-
(8)
Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger behandlet inden for rammerne af politisamarbejde og retligt samarbejde i straffesager (EUT L 350 af 30.12.2008, s. 60).
-
(9)
Retsakter vedrørende Schengeninformationssystemet og andre instrumenter i Schengenreglerne indeholdt f.eks. bestemmelser om regulering af de registreredes rettigheder.
-
(10)
Disse omfatter lovlighed og rimelighed, formålsbegrænsning, dataminimering, nøjagtighed, opbevaringsbegrænsning, integritet og fortrolighed samt ansvarlighed (retshåndhævelsesdirektivets artikel 4).
-
(11)
Retshåndhævelsesdirektivets artikel 6, 7, 25 og 29.
-
(12)
Erklæring 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde (knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, undertegnet den 13. september 2007) (EUT C 115 af 9.5.2008, s. 345).
-
(13)
Begrundelse for forslag til direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger (COM(2012) 10 final, 25.1.2012).
-
(14)
Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet — Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse (COM/2020/264 final, 24.6.2020).
-
(15)
I henhold til retshåndhævelsesdirektivets artikel 62, stk. 6, skulle Kommissionen inden den 6. maj 2019 gennemgå andre EU-retsakter, der regulerer behandling af personoplysninger til retshåndhævelsesformål, for at vurdere behovet for at tilpasse dem til retshåndhævelsesdirektivet, og, hvis det er hensigtsmæssigt, fremsætte forslag til ændring af dem for at sikre konsekvens i beskyttelsen af personoplysninger inden for anvendelsesområdet for retshåndhævelsesdirektivet.
-
(16)
Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet "Det videre forløb med tilpasning af den tidligere tredje søjle i EU-retten til databeskyttelsesreglerne" (COM(2020) 262 final, 24.6.2020).
-
(17)
Tredje del, afsnit V, kapitel 4 og 5, i TEUF.
-
(18)
Dette er allerede blevet behandlet i Kommissionens fra 2020 om ændring af Europolforordningen.
-
(19)
Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet — Første statusrapport om strategien for EU's sikkerhedsunion (COM(2020) 797 final, 9.12.2020).
-
(20)
Meddelelse fra Kommissionen til Europa-Parlamentet, Det Europæiske Råd, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget om strategien for EU's sikkerhedsunion (COM(2020) 605 final, 24.7.2020).
-
(21)
Forslag til Europa-Parlamentets og Rådets forordning om harmoniserede regler for kunstig intelligens (retsakten om kunstig intelligens) og om ændring af visse af Unionens lovgivningsmæssige retsakter (COM(2021) 206 final, 21.4.2021).
-
(22)
Der er brug for elektronisk information og bevismateriale i ca. 85 % af de sager, hvor alvorlige forbrydelser efterforskes, og 65 % af det samlede antal anmodninger er rettet til udbydere, som er etableret i en anden jurisdiktion. Se Arbejdsdokument fra Kommissionens tjenestegrene — Impact Assessment accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for electronic evidence in criminal matters and Proposal for a Directive of the European Parliament and of the Council laying down harmonised rules on the appointment of legal representatives for the purpose of gathering evidence in criminal proceedings (SWD/2018/118 final).
-
(23)
Se også betragtning 25 til direktivet.
-
(24)
Contribution by the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs to the European Commission’s upcoming report on the evaluation and review of the LED, 7.2.2022.
-
(25)
Rådets holdning og resultater vedrørende anvendelse af retshåndhævelsesdirektivet (Rådets dokument 13943/21 af 18.11.2021 https://www.consilium.europa.eu/media/54304/st_13943_2021_init_en.pdf ).
-
(26)
Contribution of the EDPB to the European Commission's evaluation of the LED under Article 62 LED, vedtaget den 14.12.2021 ("Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet"). https://edpb.europa.eu/system/files/2021-12/edpb_contribution_led_review_en.pdf .
-
(27)
Af de 804 civilsamfundsorganisationer, som Den Europæiske Unions Agentur for Grundlæggende Rettigheder (FRA) henvendte sig til, svarede 88. Kun 17 af bidragene kunne dog tages i betragtning, eftersom 61 bidrag ikke vedrørte retshåndhævelsesdirektivet, eller anførte, at den pågældende organisation ikke arbejder med beskyttelse af grundlæggende rettigheder på området for strafferetlig håndhævelse eller slet ikke har kendskab til retshåndhævelsesdirektivet.
-
(28)
Opfordring til indsendelse af dokumentation — rapport om direktivet om retshåndhævelse, 24.1.2022. https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13288-Data-protection-in-law-enforcement-report-on-the-Law-Enforcement-Directive_da .
-
(29)
Kommissionens ekspertgruppe vedrørende forordning (EU) 2016/679 og direktiv (EU) 2016/680 (E03461) https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?do=groupDetail.groupDetail&groupID=3461 .
-
(30)
Report by the Presidency of the Council of the European Union on the exchange of police data with third countries — experiences in the application of Article 37 of the Law Enforcement Directive, December 2020.
-
(31)
Se betragtning 101-103 til retshåndhævelsesdirektivet.
-
(32)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 4.
-
(33)
Rådets holdning og resultater vedrørende anvendelse af retshåndhævelsesdirektivet, punkt 7.
-
(34)
Myndighederne i Danmark, Litauen, Norge og Østrig samt en række myndigheder i Tyskland fører f.eks. ikke særskilte statistikker over brud på datasikkerheden i henhold til retshåndhævelsesdirektivet. Seks myndigheder har også rapporteret, at de ikke har modtaget nogen anmeldelser af brud på datasikkerheden i henhold til retshåndhævelsesdirektivet.
-
(35)
Myndighederne i Danmark og Østrig og en række myndigheder i Tyskland fører f.eks. ikke særskilte statistikker over klager i henhold til retshåndhævelsesdirektivet.
-
(36)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 43.
-
(37)
Se fodnote 29.
-
(38)
Dom af 25.2.2021, Kommissionen mod Spanien, C-658/19, EU:C:2017:548.
-
(39)
I april 2022 indledte Kommissionen traktatbrudsprocedurer mod Grækenland, Finland og Sverige med den begrundelse, at deres nationale gennemførelseslovgivning ikke er i overensstemmelse med retshåndhævelsesdirektivet. Sagen mod Grækenland vedrører en række punkter, herunder bl.a. at den nationale lov til gennemførelse af retshåndhævelsesdirektivet ikke finder anvendelse på behandling af personoplysninger, der foretages af anklagemyndigheder og myndigheder under deres tilsyn i de fleste straffesager, gennemførelsen af bestemmelserne om opbevaring og revision af data (artikel 5), retsgrundlaget for databehandling (artikel 8) og garantier i forbindelse med automatiske afgørelser (artikel 11). Traktatbrudsprocedurerne mod Finland og Sverige blev indledt, fordi deres lovgivning ikke giver registrerede adgang til effektive retsmidler ved en domstol eller et domstolslignende organ. Kommissionen indledte en traktatbrudsprocedure mod Tyskland i maj 2022, fordi flere nationale love til gennemførelse af retshåndhævelsesdirektivet ikke sikrer effektive korrigerende beføjelser på forbunds- og delstatsniveau.
-
(40)
Dom af 12.5.2021, WS mod Bundesrepublik Deutschland, C-505/19, EU:C:2021:376. Denne sag vedrørte bl.a. lovligheden af behandlingen af personoplysninger (retshåndhævelsesdirektivets artikel 4, stk. 1, litra a), og artikel 8) specifikt i forbindelse med et efterlysningsblad (rødt hjørne) udstedt af Interpol. Domstolen udelukkede ikke, at behandlingen af personoplysninger i et efterlysningsblad udstedt af Interpol var lovlig, så længe det ikke ved en endelig retsafgørelse er blevet godtgjort, at princippet ne bis in idem finder anvendelse for så vidt angår de strafbare handlinger, hvorpå dette efterlysningsblad er støttet.
-
(41)
Dom af 22.6.2021, B mod Latvijas Republikas Saeima, C-439/19, EU:C:2021:504. EU-Domstolen fortolkede definitionen af den kompetente myndighed i henhold til artikel 3, stk. 7, og begrebet kriminalitet. Se også afsnittet nedenfor.
-
(42)
Se referat af mødet i Kommissionens ekspertgruppe om forordning (EU) 2016/679 og direktiv (EU) 2016/680 af 5.5.2021 ( https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=en&meetingId=25283&fromExpertGroups=true ).
-
(43)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 7.
-
(44)
Datatilsynsmyndighederne i Irland, Frankrig og Ungarn rejste dette som et problem.
-
(45)
Retshåndhævelsesdirektivets artikel 2, stk. 1, og betragtning 12-14.
-
(46)
Retshåndhævelsesdirektivets artikel 1.
-
(47)
Retshåndhævelsesdirektivets artikel 3, stk. 7.
-
(48)
I henhold til artikel 41 i Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2005/60/EF samt Kommissionens direktiv 2006/70/EF, som omhandler finansielle efterretningsenheders behandling, er behandling af personoplysninger efter dette direktiv er underlagt forordning (EU) 2016/679.
-
(49)
Dom af 22.6.2021, B mod Latvijas Republikas Saeima, C-439/19, EU:C:2021:504, præmis 87.
-
(50)
Anmodning om præjudiciel afgørelse i C.G. mod Bezirkshauptmannschaft Landeck, C-548/21.
-
(51)
Afdeling 1, kapitel VI, i retshåndhævelsesdirektivet.
-
(52)
Betragtning 7 og 82 til retshåndhævelsesdirektivet.
-
(53)
Se også punkt 23 i Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet: 24 medlemsstater har fastsat bestemmelser om beføjelser til at få adgang til den dataansvarliges og databehandlerens lokaler og til databehandlingsudstyr og -midler. 21 medlemsstater har fastsat bestemmelser om en revisionsproces, og ni medlemsstater har fastsat bestemmelser om andre beføjelser (f.eks. beslaglæggelse af genstande, anmodning om høring for datatilsynsmyndigheden og anmodning om udøvende assistance fra politiet).
-
(54)
Retshåndhævelsesdirektivets artikel 47, stk. 2, litra a) -c).
-
(55)
18 medlemsstater har fastsat denne mulighed: Bulgarien, Tjekkiet, Estland, Grækenland, Kroatien, Italien, Cypern, Letland, Litauen, Luxembourg, Ungarn, Malta, Nederlandene, Østrig, Portugal, Rumænien, Slovakiet og Sverige. Datatilsynsmyndighederne i tre medlemsstater (Estland, Letland og Østrig) kan pålægge fysiske personer (f.eks. ansatte) eller private enheder (dvs. private enheder, der er databehandlere) bøder.
-
(56)
Retshåndhævelsesdirektivets artikel 52.
-
(57)
Retshåndhævelsesdirektivets artikel 53.
-
(58)
Finland og Sverige.
-
(59)
Retshåndhævelsesdirektivets artikel 53, stk. 2.
-
(60)
Retshåndhævelsesdirektivets artikel 54.
-
(61)
Retshåndhævelsesdirektivets artikel 55.
-
(62)
Retshåndhævelsesdirektivets artikel 5.
-
(63)
Anmodning om præjudiciel afgørelse NG mod Direktor na Glavna direktsia "Natsionalna politsia" pri MVR — Sofia, C-118/22.
-
(64)
Retshåndhævelsesdirektivets artikel 8, stk. 2.
-
(65)
Retshåndhævelsesdirektivets artikel 10.
-
(66)
Retshåndhævelsesdirektivets artikel 11, stk. 1.
-
(67)
Retshåndhævelsesdirektivets artikel 11, stk. 2.
-
(68)
Retshåndhævelsesdirektivets artikel 11, stk. 3.
-
(69)
Retshåndhævelsesdirektivets artikel 15, stk. 1.
-
(70)
Artikel 13, stk. 3, og artikel 16, stk. 4.
-
(71)
Retshåndhævelsesdirektivets artikel 17.
-
(72)
Retshåndhævelsesdirektivets artikel 18.
-
(73)
Anmodning om præjudiciel afgørelse i TX mod Bundesrepublik Deutschland, C-481/21.
-
(74)
Retshåndhævelsesdirektivets artikel 6.
-
(75)
Anmodning om præjudiciel afgørelse i Ministerstvo na vatreshnite raboti mod B.C., C-205/21.
-
(76)
Retshåndhævelsesdirektivets artikel 7.
-
(77)
Tyskland har gjort brug af muligheden for at vedtage visse love til gennemførelse af direktivet på forbunds- og delstatsniveau.
-
(78)
Retshåndhævelsesdirektivets artikel 63, stk. 2.
-
(79)
Retshåndhævelsesdirektivets artikel 25.
-
(80)
Rådets holdning og resultater vedrørende anvendelse af retshåndhævelsesdirektivet, punkt 15.
-
(81)
Retshåndhævelsesdirektivets artikel 15.
-
(82)
Retshåndhævelsesdirektivets artikel 16.
-
(83)
Retshåndhævelsesdirektivets artikel 13.
-
(84)
Retshåndhævelsesdirektivets artikel 17.
-
(85)
Fire datatilsynsmyndigheder indsamler ikke statistikker om anmodninger modtaget i henhold til retshåndhævelsesdirektivets artikel 17.
-
(86)
Disse vedrører anmodninger siden gennemførelsen af retshåndhævelsesdirektivet frem til december 2021. Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet (svar fra individuelle datatilsynsmyndigheder).
-
(87)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 50.
-
(88)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 33.
-
(89)
Tre organisationer (i forbindelse med svarene på spørgeskemaerne fra Agenturet for Grundlæggende Rettigheder) rapporterede, at de havde modtaget én anmodning, og en organisation rapporterede, at den havde modtaget mere end én anmodning.
-
(90)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 31.
-
(91)
Retshåndhævelsesdirektivets artikel 15.
-
(92)
Retshåndhævelsesdirektivets artikel 16.
-
(93)
Retshåndhævelsesdirektivets artikel 13.
-
(94)
Rådets holdning og resultater vedrørende anvendelse af retshåndhævelsesdirektivet, punkt 21.
-
(95)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet (svar fra individuelle datatilsynsmyndigheder).
-
(96)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 40, og Rådets holdning og resultater vedrørende anvendelse af retshåndhævelsesdirektivet, s. 9.
-
(97)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 70.
-
(98)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 70.
-
(99)
Retshåndhævelsesdirektivets artikel 46, stk. 1, litra d).
-
(100)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet (svar fra individuelle datatilsynsmyndigheder).
-
(101)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 41-42.
-
(102)
Retshåndhævelsesdirektivets artikel 32-34.
-
(103)
Rådets holdning og resultater vedrørende anvendelse af retshåndhævelsesdirektivet, punkt 22.
-
(104)
Rådets holdning og resultater vedrørende anvendelse af retshåndhævelsesdirektivet, punkt 25.
-
(105)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 70 og 71, svar fra individuelle datatilsynsmyndigheder (Tyskland, Finland, Frankrig, Ungarn og Malta).
-
(106)
Rådets holdning og resultater vedrørende anvendelse af retshåndhævelsesdirektivet, punkt 26.
-
(107)
Retshåndhævelsesdirektivets artikel 30 og 31.
-
(108)
Tallene omfatter alle de brud på datasikkerheden, der blev indberettet mellem gennemførelsen af retshåndhævelsesdirektivet og december 2021. Dataene blev indsamlet fra datatilsynsmyndighederne i december 2021.
-
(109)
Spanien, Kroatien, Litauen, Portugal, Slovakiet og Slovenien.
-
(110)
Arbejdsdokument fra Kommissionens tjenestegrene, Meddelelse fra Kommissionen til Europa- Parlamentet og Rådet, Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse (COM(2020) 264 final).
-
(111)
Databeskyttelsesrådets retningslinjer 01/2021 vedrørende eksempler på anmeldelse af brud på persondatasikkerheden, vedtaget den 14.12.2021 ( https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012021_pdbnotification_adopted_en.pdf ).
-
(112)
Retshåndhævelsesdirektivets artikel 42, stk. 4.
-
(113)
Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet, Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse (COM/2020/264 final).
-
(114)
Rådets holdning og resultater vedrørende anvendelse af retshåndhævelsesdirektivet, punkt 12.
-
(115)
Bidrag fra Databeskyttelsesrådet til evalueringen af persondataforordningen, jf. artikel 97, 18.2.2020, s. 26 ( https://edpb.europa.eu/sites/default/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf ). Databeskyttelsesrådets oversigt over ressourcer, som medlemsstaterne stiller til rådighed for datatilsynsmyndighederne, og over datatilsynsmyndighedernes håndhævelsesforanstaltninger ("Databeskyttelsesrådets oversigt over ressourcer"), 5.8.2021, s. 4. https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/overview-resources-made-available-member-states-data_en .
-
(116)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 65 og figur vedrørende Q41, s. 20.
-
(117)
Tyskland angav en betydelig stigning fra 33 til 53 fuldtidsækvivalenter mellem 2017 og 2021.
-
(118)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, figur vedrørende Q41, s. 20. Databeskyttelsesrådets oversigt over ressourcer, s. 5.
-
(119)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, figur vedrørende Q41, s. 19.
-
(120)
Belgien, Danmark, Irland, Grækenland, Letland, Luxembourg, Ungarn, Malta, Østrig og Finland.
-
(121)
Tyskland og Frankrig.
-
(122)
Frankrig og Sverige
-
(123)
Nederlandene.
-
(124)
Irland har modtaget 135 klager vedrørende retshåndhævelsesdirektivet siden 2018, Ungarn har modtaget 141 siden 2018, og Danmark har modtaget 223 siden 2017. I modsætning hertil har der været flere tusinde klager vedrørende persondataforordningen (se Databeskyttelsesrådets oversigt over ressourcer, s. 10.)
-
(125)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 69.
-
(126)
Datatilsynsmyndighederne i Irland, Malta og Nederlandene rapporterede, at de havde gennemførte undersøgelser på eget initiativ. Datatilsynsmyndighederne i Grækenland, Spanien, Litauen og Ungarn gennemførte undersøgelser på grundlag af klager. Datatilsynsmyndighederne i Belgien, Bulgarien, Danmark, Tyskland, Frankrig, Italien, Luxembourg, Østrig, Polen, Slovenien og Sverige gennemførte undersøgelser både på eget initiativ og på grundlag af klager.
-
(127)
De tyske og ungarske datatilsynsmyndigheder anførte, at de ikke havde modtaget alle nødvendige oplysninger, og/eller at den dataansvarlige havde nægtet dem adgang til de nødvendige oplysninger. De tyske myndigheder nævnte, at der ikke er fastsat en beføjelse svarende beføjelsen i persondataforordningens artikel 58, stk. 1, litra a).
-
(128)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 30, og svar fra individuelle datatilsynsmyndigheder (Østrig og Luxembourg).
-
(129)
De danske og litauiske datatilsynsmyndigheder rapporterede, at de kun var blevet hørt én gang. Den belgiske datatilsynsmyndighed modtog 59 forudgående høringsanmodninger.
-
(130)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 39.
-
(131)
Datatilsynsmyndighederne i Tjekkiet, Grækenland, Kroatien, Letland og Sverige rapporterede, at de ikke afgav udtalelser. Datatilsynsmyndighederne i Grækenland, Kroatien, Letland, Polen, Rumænien, Slovenien og Slovakiet blev kun hørt lejlighedsvis.
-
(132)
Denne bemærkning er baseret på svarene fra datatilsynsmyndighederne i Belgien, Bulgarien, Tyskland, Estland, Irland, Italien, Ungarn, Nederlandene, Østrig, Polen, Finland og Sverige.
-
(133)
Betragtning 7 til retshåndhævelsesdirektivet.
-
(134)
Databeskyttelsesrådets henstilling 01/2021 om referencen vedrørende et tilstrækkeligt beskyttelsesniveau i retshåndhævelsesdirektivet, vedtaget den 2.2.2021. https://edpb.europa.eu/sites/default/files/files/file1/recommendations012021onart.36led.pdf_en.pdf .
-
(135)
Databeskyttelsesrådets retningslinje 05/2022 om anvendelsen af ansigtsgenkendelsesteknologier på retshåndhævelsesområdet, vedtaget den 12.5.2022, version til offentlig høring, som findes på https://edpb.europa.eu/system/files/2022-05/edpb-guidelines_202205_frtlawenforcement_en_1.pdf .
-
(136)
Artikel 29-Gruppens udtalelse om centrale dele af retshåndhævelsesdirektivet (EU 2016/680), WP 258, vedtaget den 29.11.2017, som findes på https://ec.europa.eu/newsroom/article29/items/610178/en .
-
(137)
Databeskyttelsesrådets retningslinjer 07/2020 for begreberne dataansvarlig og databehandler i den generelle forordning om databeskyttelse, vedtaget den 7.7.2021, som findes på https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf .
-
(138)
Databeskyttelsesrådets retningslinjer 01/2022 om registreredes rettigheder (indsigtsret), vedtaget den 18.1.2022, version til offentlig høring, som findes på https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf .
-
(139)
Artikel 29-Gruppens retningslinjer om anmeldelse af brud på persondatasikkerheden i henhold til forordning (EU) 2016/679, WP 250rev.01, senest revideret den 6.2.2018, godkendt af Databeskyttelsesrådet den 25.5.2018, som findes på https://ec.europa.eu/newsroom/article29/items/612052/en , og Databeskyttelsesrådets retningslinjer 01/2021 vedrørende eksempler på anmeldelse af brud på persondatasikkerheden, vedtaget den 14.12.2021, som findes på https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012021_pdbnotification_adopted_en.pdf .
-
(140)
Artikel 29-Gruppens retningslinjer for konsekvensanalyse vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen "sandsynligvis indebærer en høj risiko" i henhold til forordning (EU) 2016/679, WP 248rev.01, senest revideret den 4.10.2017, godkendt af Databeskyttelsesrådet den 25.5.2018, som findes på https://ec.europa.eu/newsroom/article29/items/611236 .
-
(141)
Databeskyttelsesrådets retningslinjer om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i henhold til artikel 25, vedtaget den 20.10.2020, som findes på https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf .
-
(142)
Artikel 29-Gruppens retningslinjer om automatiske individuelle afgørelser og profilering i henhold til forordning (EU) 2016/679, WP 251rev01, senest revideret den 6.2.2018, godkendt af Databeskyttelsesrådet den 25.5.2018, som findes på https://ec.europa.eu/newsroom/article29/items/612053/en .
-
(143)
Rådets holdning og resultater vedrørende anvendelse af retshåndhævelsesdirektivet, punkt 14.
-
(144)
Databeskyttelsesrådets bidrag til evalueringen af retshåndhævelsesdirektivet, punkt 39.
-
(145)
Retshåndhævelsesdirektivets artikel 50.
-
(146)
Databeskyttelsesrådets arbejdsprogram 2021/2022, edpb_workprogramme_2021-2022_en.pdf (europa.eu) .
-
(147)
Se retshåndhævelsesdirektivets artikel 35, stk. 3, og betragtning 64. Se retshåndhævelsesdirektivets artikel 35, stk. 1, litra e), og betragtning 65 vedrørende videreoverførsel.
-
(148)
Commission Implementing Decision of 28 June 2021 pursuant to Directive (EU) 2016/680 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom, findes på https://ec.europa.eu/info/sites/default/files/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_law_enforcement_directive_en.pdf .
-
(149)
Se retshåndhævelsesdirektivets artikel 35, stk. 1, litra c), artikel 35, stk. 2, og betragtning 66.
-
(150)
Se handels- og samarbejdsaftalens artikel 525, stk. 1.
-
(151)
Se punkt 172-174 i Decision on the adequate protection of personal data by the United Kingdom: Law Enforcement Directive, 28.6.2021, som findes på https://ec.europa.eu/info/files/decision-adequate-protection-personal-data-united-kingdom-law-enforcement-directive_en .
-
(152)
Databeskyttelsesrådets henstilling 01/2021 om referencen vedrørende et tilstrækkeligt beskyttelsesniveau i retshåndhævelsesdirektivet, vedtaget den 2.2.2021. Se også retshåndhævelsesdirektivets artikel 36, stk. 2, og betragtning 67.
-
(153)
Se meddelelse fra Kommissionen til Europa-Parlamentet og Rådet om udveksling og beskyttelse af personoplysninger i en globaliseret verden (COM(2017) 7 final, s. 13).
-
(154)
Rådets holdning og resultater vedrørende anvendelse af retshåndhævelsesdirektivet, punkt 18.
-
(155)
I sin meddelelse om det videre forløb med tilpasning af den tidligere tredje søjle i EU-retten til databeskyttelsesreglerne har Kommissionen konkluderet, at flere af de eksisterende aftaler ikke kræver yderligere tilpasning til retshåndhævelsesdirektivet (f.eks. aftalen mellem Den Europæiske Union og Republikken Island og Kongeriget Norge om anvendelsen af visse bestemmelser i den europæiske konvention af 29.5.2000 om gensidig retshjælp i straffesager og tillægsprotokollen fra 2001).
-
(156)
Yderligere oplysninger om de eksisterende Europolaftaler kan findes på Europols websted på: https://www.europol.europa.eu/partners-collaboration/agreements .
-
(157)
Se artikel 25, stk. 4, i Europa-Parlamentets og Rådets forordning (EU) 2016/794 af 11. maj 2016 om Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) og om erstatning og ophævelse af Rådets afgørelse 2009/371/RIA, 2009/934/RIA, 2009/935/RIA, 2009/936/RIA og 2009/968/RIA (EUT L 135 af 24.5.2016, s.53).
-
(158)
Konsolideret udgave af traktaten om Den Europæiske Union, EUT C 202 af 7.6.2016, som findes på https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX%3A02016M%2FTXT-20200301 .
-
(159)
Betragtning 35 til Europolforordningen.
-
(160)
Kommissionen var på vegne af Den Europæiske Union stærkt engageret i disse forhandlinger med USA, herunder i den særlige undergruppe om databeskyttelse (idet databeskyttelse er et af de emner, der blev drøftet mest indgående).
-
(161)
Se meddelelse fra Kommissionen til Europa-Parlamentet og Rådet om udveksling og beskyttelse af personoplysninger i en globaliseret verden (COM(2017) 7 final, s. 14).
-
(162)
Aftale Den Europæiske Union på den ene side og New Zealand på den anden side om udveksling af personoplysninger mellem Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) og New Zealands kompetente myndigheder for bekæmpelse af grov kriminalitet og terrorisme.
-
(163)
Aftale mellem Den Europæiske Union og Japan om gensidig retshjælp i straffesager (EUT L 39 af 12.2.2010, s. 20) https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A22010A0212%2801%29 .
-
(164)
Rådets afgørelse om bemyndigelse til at indlede forhandlinger med Japan om ændring af aftalen mellem Den Europæiske Union og Japan om gensidig retshjælp i straffesager (dokument LT 223/21).
-
(165)
Efter godkendelse fra Rådet for Den Europæiske Union den 6.6.2019. Mandatet findes på https://www.consilium.europa.eu/en/press/press-releases/2019/06/06/council-gives-mandate-to-commission-to-negotiate-international-agreements-on-e-evidence-in-criminal-matters/ .
-
(166)
Den anden tillægsprotokol til Budapestkonventionen om IT-kriminalitet vedrørende forstærket samarbejde og videregivelse af elektronisk bevismateriale blev godkendt af Europarådets Ministerkomité den 17.11.2021. Den blev udarbejdet af komitéen for konventionen om IT-kriminalitet (T-CY) mellem september 2017 og maj 2021. Teksten til protokollen (bekræftet kopi) findes på https://rm.coe.int/1680a4b2e1 . Den forklarende rapport til protokollen findes også på https://rm.coe.int/1680a49c9d .
-
(167)
Se tillægsprotokollens artikel 14 sammen med punkt 220-287 i den forklarende rapport.
-
(168)
I sin udtalelse 1/2022 af 20.1.2022 om de to forslag til Rådets afgørelser om bemyndigelse af medlemsstaterne til at ratificere tillægsprotokollen noterer EDPS sig positivt de mange garantier, der er medtaget i protokollen.
-
(169)
Rådets afgørelse om bemyndigelse til at indlede forhandlinger med henblik på indgåelse af en aftale mellem Den Europæiske Union og Amerikas Forenede Stater om grænseoverskridende adgang til elektronisk bevismateriale inden for retligt samarbejde i straffesager. Mandatet kan findes på: https://data.consilium.europa.eu/doc/document/ST-9114-2019-INIT/da/pdf .
-
(170)
Forslag til Europa-Parlamentets og Rådets forordning om europæiske editions- og sikringskendelser om elektronisk bevismateriale i straffesager (COM/2018/225 final) og forslag til Europa-Parlamentets og Rådets direktiv om harmoniserede regler for udpegning af retlige repræsentanter med henblik på indsamling af bevismateriale i straffesager (COM/2018/226 final).
-
(171)
Databeskyttelsesrådet, erklæring 02/2021 om udkast til nye bestemmelser i den anden tillægsprotokol til Europarådets konvention om IT-kriminalitet (Budapestkonventionen), vedtaget den 2.2.2021, som findes på https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-022021-new-draft-provisions-second-additional_en .
-
(172)
EDPS, udtalelse 04/2021 om revisionen af Europols mandat, vedtaget den 8.3.2021, som findes på https://edps.europa.eu/data-protection/our-work/publications/opinions/edps-opinion-proposal-amendment-europol-regulation_en .
-
(173)
Databeskyttelsesrådet, erklæring 04/2021 om internationale aftaler, der omfatter overførsler, vedtaget den 13.4.2021, som findes på https://edpb.europa.eu/system/files/2021-04/edpb_statement042021_international_agreements_including_transfers_en.pdf .
-
(174)
Se rapporten fra rådsformandskabet om udveksling af politioplysninger med tredjelande — erfaringer med anvendelsen af retshåndhævelsesdirektivets artikel 37. Databeskyttelsesrådet har meddelt, at det vil tage konklusionerne fra formandskabets rapport sammen med yderligere oplysninger og bemærkninger fra medlemsstaterne i betragtning, når det udarbejder vejledning om direktivets artikel 37. Se brev fra Databeskyttelsesrådets formand til Forbundsrepublikken Tysklands Faste Repræsentation ved Den Europæiske Union af 26.2.2021 (dokument 13555/1/20).
-
(175)
Se Rådets holdning og resultater vedrørende anvendelse af retshåndhævelsesdirektivet, punkt 20.
-
(176)
Retshåndhævelsesdirektivets artikel 38, stk. 1, litra c).
-
(177)
Retshåndhævelsesdirektivets artikel 38, stk. 1, litra d).
-
(178)
Den anden tillægsprotokol til Budapestkonventionen kan f.eks. anses for en international aftale som omhandlet i persondataforordningens artikel 48.
- (179)
-
(180)
Ændringsprotokol til konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger vedtaget af Ministerkomitéen på dens 128. møde i Helsingør den 18.5.2018 (k108+), som findes på https://rm.coe.int/convention-108-convention-for-the-protection-of-individuals-with-regar/16808b36f1.
-
(181)
Se f.eks. den praktiske vejledning om brug af personoplysninger i politisektoren, som findes på https://rm.coe.int/t-pd-201-01-practical-guide-on-the-use-of-personal-data-in-the-police-/16807927d5 .
-
(182)
Databeskyttelsesrådet: Document on Terms of Reference of the EDPB Support Pool of Experts, vedtaget den 15.12.2020.