Politi og retsvæsen

Politi og retsvæsen

Der gælder særlige regler for retshåndhævende myndigheders behandling af personoplysninger, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner. Reglerne findes i lov om retshåndhævende myndigheders behandling af personoplysninger (retshåndhævelsesloven). 

Retshåndhævende myndigheder er politi, anklagemyndighed, herunder den militære anklagemyndighed, kriminalforsorgen, Den Uafhængige Politiklagemyndighed og domstolene.

De særlige regler gælder kun for myndighedernes varetagelse af opgaver knyttet til det strafferetlige område. Det betyder, at reglerne gælder for bl.a. politiets behandling af oplysninger om mistænkte, sigtede og vidner i forbindelse med efterforskning af en konkret strafbar handling. Den behandling af personoplysninger, der sker ved politiets og anklagemyndighedens forberedelse og gennemførelse af straffesager, er også omfattet af reglerne. Også domstolenes behandling af personoplysninger i forbindelse med straffesagsbehandling er omfattet af de særlige regler. Tilsvarende for kriminalforsorgens aktiviter ved straffuldbyrdelse af domme. Reglerne gælder også for aktiviteter, som ikke knytter sig til en konkret straffesag, som f.eks. politiets aktiviteter i forbindelse generelle forebyggelsesindsatser, herunder færdselskontrol, og forebyggelsesindsatser målrettet mod enkeltpersoner, f.eks. exitprogrammer for personer med relation til rocker- og bandemiljøer.

For anden behandling af personoplysninger, som ikke knytter sig til myndighedens aktiviteter på det strafferetlige område, gælder databeskyttelsesforordningen og databeskyttelsesloven.

Datatilsynet fører tilsyn med enhver behandling af personoplysninger, som er omfattet af retshåndhævelsesloven.

Dog fører Domstolsstyrelsen tilsyn med behandling af personoplysninger, som foretages for domstolene, når domstolene ikke handler i deres egenskab af domstol. 

Læs mere om tilsynet med domstolenes behandling af personoplysninger på www.domstol.dk.

Hvornår må retshåndhævende myndigheder behandle personoplysninger?

Retshåndhævende myndigheder må kun behandle almindelige personoplysninger, når det er nødvendigt for at forebygge, afsløre eller retsforfølge strafbare handlinger. Myndighederne må desuden behandle personoplysninger, når det er nødvendigt for at fuldbyrde strafferetlige sanktioner.

Retshåndhævende myndigheder må som udgangspunkt ikke behandle følsomme oplysninger, medmindre det er strengt nødvendigt og sker af hensyn til de formål, som er nævnt ovenfor.

Myndighederne skal også leve op til en række grundlæggende databeskyttelsesretlige principper.

Reglerne for behandling af oplysninger fremgår af retshåndhævelseslovens afsnit II.

Krav til den dataansvarlige og databehandleren

For flere af kravene til den dataansvarlige og databehandleren er der sammenfald mellem reglerne i databeskyttelsesforordningen/databeskyttelsesloven og retshåndhævelsesloven.

Den dataansvarlige myndighed skal bl.a. udpege en databeskyttelsesrådgiver og føre en skriftlig fortegnelse over alle kategorier af behandlingsaktiviteter. Kravet om at føre en fortegnelse gælder også for eventuelle databehandlere. Læs mere om databeskyttelsesrådgiveren i retshåndhævelseslovens kapitel 14 og 15 og om kravene til indholdet af fortegnelsen i retshåndhævelseslovens § 23.

Tilsvarende svarer reglerne om behandlingssikkerhed efter retshåndhævelsesloven i praksis i vidt omfang til reglerne i databeskyttelsesforordningen. Dette indebærer, at den dataansvarlige myndighed skal træffe passende tekniske og organisatoriske foranstaltninger ud fra en risikobaseret tilgang. Hvis myndigheden overlader en behandling af oplysninger til en databehandler, skal myndigheden sikre sig, at databehandleren kan træffe fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Gennemførelse af en behandling ved en databehandler skal ske efter lov eller efter en skriftlig aftale mellem myndigheden og databehandleren. Der er ikke sammenfald mellem minimumskravene til indholdet af databehandleraftalen i retshåndhævelsesloven og databeskyttelsesforordningen. Kravene til indholdet af databehandleraftalen fremgår af retshåndhævelseslovens kapitel 9. 

Retshåndhævelsesloven indeholder ligesom databeskyttelsesforordningen krav om, at den dataansvarlige myndighed i visse tilfælde udarbejder en konsekvensanalyse forud for en behandling og foretager forudgående høring af Datatilsynet (eller Domstolsstyrelsen). Kriterierne for, hvornår myndigheden skal udarbejde en konsekvensanalyse, er de samme, som gælder efter databeskyttelsesforordningen.

Ved sikkerhedsbrud skal den dataansvarlige myndighed som udgangspunkt underrette Datatilsynet (eller Domstolsstyrelsen) uden unødig forsinkelse og senest 72 timer efter, at myndigheden er blevet bekendt med bruddet. I visse tilfælde skal myndigheden også underrette de registrerede om bruddet. Reglerne svarer til reglerne i databeskyttelsesforordningen.

De registreredes rettigheder

Retshåndhævelsesloven indeholder ligesom databeskyttelsesforordningen og databeskyttelsesloven regler om de registreredes rettigheder. Reglerne findes i lovens kapitel 4-8.

Den dataansvarlige myndighed har efter reglerne pligt til at stille en række oplysninger til rådighed for de registrerede, herunder oplysninger om myndighedens identitet og kontaktoplysninger. Oplysningerne kan stilles til rådighed på myndighedens hjemmeside eller i trykt materiale. Hvis det er nødvendigt for, at den registrerede kan varetage sine interesser, skal myndigheden også give den registrerede en meddelelse med yderligere oplysninger.

Pligten til at give meddelelse kan udsættes, begrænses eller undlades, hvis den registreredes interesse i at få oplysninger findes at burde vige for hensynet til private eller offentlige interesser, f.eks. af hensyn til en konkret igangværende efterforskning eller politiets arbejdsmetoder mv.

Den registrerede kan også anmode om indsigt i oplysninger, som myndigheden behandler om den pågældende. Myndigheden skal som udgangspunkt bekræfte over for den registrerede, om der behandles oplysninger om vedkommende. Hvis der behandles oplysninger, skal myndigheden give adgang til oplysningerne samt en meddelelse med en række oplysninger. Myndigheden kan give afslag på en anmodning om indsigt, hvis den registreredes interesse i at få meddelelse bør vige for hensynet til private eller offentlige interesser. Myndigheden kan også træffe afgørelse om, at retten til indsigt skal udsættes eller begrænses. Der kan også være tilfælde, hvor myndigheden ikke kan oplyse, om der behandles oplysninger om den registrerede.

Den registrerede har efter reglerne også ret til at anmode om, at oplysninger om vedkommende berigtiges eller slettes, eller at behandlingen af oplysninger begrænses. Hvis den registrerede har ret til berigtigelse, sletning eller begrænset behandling af personoplysninger, skal myndigheden underrette eventuelle modtagere af oplysningerne om dette.

Myndigheden skal besvare en anmodning skriftligt og snarest muligt og senest inden 4 uger efter modtagelsen.

Træffer myndigheden afgørelse om undlade, udsætte, begrænse eller nægte den registrerede sine rettigheder, kan den registrerede bede Datatilsynet (eller Domstolsstyrelsen) om at udøve rettighederne.

 

En række af reglerne i retshåndhævelsesloven er til dels sammenfaldende med reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Derfor kan man i et vist omfang skele til vejledningerne til databeskyttelsesforordningen og databeskyttelsesloven ved fortolkning af reglerne i retshåndhævelsesloven. Dog skal man være opmærksom på forskellene i ordlyden af bestemmelserne og baggrunden for reglerne.