Personvern og behandling av persondata i forbindelse med kriminalitet
Avtalegrunnlag
Fortolkningsdom avsagt av EU-domstolen 28.11.2024
Bakgrunn
BAKGRUNN (fra departementets Schengen-notat, sist oppdatert 19.12.2017)
1. Beskrivelse
Europaparlamentet og Rådet for Den europeiske union vedtok 27. april 2016 direktiv (EU) 2016/680 om beskyttelse av fysiske personer ved behandling av personopplysninger for å forebygge, etterforske, avdekke eller straffeforfølge lovbrudd eller gjennomføring av straffereaksjoner, og om fri utveksling av slike opplysninger og opphevelse av rådets rammebeslutning 2008/977/JIS.
Direktiv (EU) 2016/680 er vedtatt som en del av et nytt europeisk personvernregelverk, i tillegg til en generell forordning (EU) 2016/679 om behandling av personopplysninger. Direktivet skal erstatte rammebeslutning 2008/977/JIS om personvern innen politisamarbeid og annen rettslig samarbeid i straffesaker (rammebeslutningen), som er inntatt i Schengen-avtalen og gjennomført i politiregisterloven med tilhørende forskrift.
2. Generelt om direktivet
Direktiv (EU) 2016/680 regulerer politiets og påtalemyndighetens behandling av personopplysninger til kriminalitetsbekjempende formål, og behandling av personopplysninger innenfor rammene av politisamarbeid og annet rettslig samarbeid i straffesaker.
Den største forskjellen mellom direktivet og rammebeslutningen er anvendelsesområdet. Rammebeslutningen gjaldt i utgangspunktet bare for behandling av opplysninger som utveksles mellom medlemslandene, mens direktivet også gjelder for den nasjonale behandlingen av opplysninger.
Direktivet regulerer innsamling, bruk og sekundærbruk av opplysninger, og inneholder blant annet regler om lovligheten av behandling av opplysninger. Sentralt står prinsippene om at opplysninger bare må behandles for nærmere angitte formål, samt at opplysningene må være nødvendige, relevante, korrekte og tilstrekkelige. Direktivet inneholder sentrale rettigheter for den opplysningen gjelder, herunder rett til innsyn og rett til å kreve opplysninger rettet, slettet eller sperret. Videre er det nedfelt regler om erstatning, tilsyn, informasjonssikkerhet og konfidensialitet.
• Kapittel I omhandler formål, virkeområde og definisjoner. Nytt er at direktivet også gjelder for nasjonal behandling av opplysninger og at den inneholder noen flere definisjoner. Nasjonale sikkerhetsmyndigheters behandling av personopplysninger var ikke omfattet av rammebeslutningen, og denne behandlingen ligger også utenfor direktivets anvendelsesområde.
• Kapittel II inneholder grunnleggende bestemmelser om rettmessighet, forholdsmessighet og formålsbestemthet ved behandling av opplysninger, herunder at opplysningene må være relevante og tilstrekkelige. Nytt er at det i større grad skal skilles mellom kategorier av registrerte, for eksempel om en person er mistenkt, straffedømt eller vitne, og at det i større grad skal skilles mellom fakta og vurderinger. Videre regnes nå også biometri, DNA og seksuell orientering som sensitive opplysninger, der det oppstilles et strengere nødvendighetskrav enn ved behandling av andre opplysninger.
• Kapittel III inneholder regler om informasjonsplikt, innsyn, retting, sletting og sperring. I tillegg er det gitt regler om den registrertes utøvelse av rettigheter gjennom tilsynsmyndigheten og særregler for behandling av opplysninger i straffesaker. Nytt er at det gis regler om informasjonsplikt, som i rammebeslutningen var overlatt til nasjonal lovgivning. Utover dette er det nytt at grunnløse eller gjentatte begjæringer om innsyn mv. kan avvises, og i tillegg er det gitt noe mer detaljerte saksbehandlingsregler.
• Kapittel IV omhandler hvilke plikter som pålegger den behandlingsansvarlige og databehandleren, informasjonssikkerhet og personvernrådgiverordning. Nytt er at det legges opp til en obligatorisk personvernrådgiverordning, og at den registrerte som hovedregel skal varsles ved informasjonssikkerhetsbrudd. Nytt er også at det skal foretas en konsekvensutredning ved etablering av nye registre. Sistnevnte må ses i sammenheng med at forordningen ikke har videreført den tidligere melde- og konsesjonsplikten for etablering av registre som fulgte av direktiv 95/46/EF. Rammebeslutningen hadde ingen tilsvarende bestemmelser.
• Kapittel V inneholder generelle prinsipper om utlevering av opplysninger til tredjeland og internasjonale organisasjoner. Bestemmelsene berører imidlertid ikke avtaler som medlemslandene tidligere har inngått med tredjeland.
• Kapittel VI omhandler uavhengige tilsynsmyndigheters kompetanse, oppgaver og virkemidler. Nytt er at tilsynsmyndighetene kan avvise eller kreve gebyr når den registrerte fremsetter grunnløse eller gjentatte begjæringer om kontroll.
• Kapittel VII regulerer gjensidig bistand mellom tilsynsmyndighetene, både nasjonalt og mellom medlemslandene.
• Kapittel VIII regulerer den registrertes rett til å klage til tilsynsmyndigheter, retten til å saksøke både tilsynsmyndigheten, behandlingsansvarlig og databehandleren. I tillegg inneholder kapittelet bestemmelser om erstatning og sanksjoner. Nytt er at den registrerte har rett til å saksøke databehandleren. En tilsvarende bestemmelse finnes også i forordningen.
3. Rettsgrunnlag, norsk tilknytning og internrettslige konsekvenser
Direktivet innebærer en videreutvikling av Schengen-regelverket. Direktivet er hjemlet i EU-charter artikkel 8 nr. 1 og artikkel 16 nr. 1 i traktaten om den Europeiske Unions funksjonsmåte.
Direktivet nødvendiggjør lov- og forskriftsendringer, som er sendt på høring med frist henholdsvis 15. desember 2016 og 1. februar 2017. Direktivet avstedkommer ikke vesentlige endringer i politiregisterloven, og nødvendige endringer vil først og fremst bli gjennomført i politiregisterforskriften.
Norge har underrettet om godtakelse av direktivet, med forbehold om Stortingets samtykke.
4. Økonomiske og administrative konsekvenser
Direktivet medfører ikke nevneverdige administrative eller økonomiske konsekvenser.
Status
Forslag til nødvendige regelverksendringer for å gjennomføre direktivet er sendt på høring.