2 Nærmere om direktivet
Rådet for den europeiske union vedtok 27. april 2016 direktiv (EU) 2016/680 om fysiske personers vern i forbindelse med kompetente myndigheters behandling av personopplysninger med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner og om fri utveksling av slike opplysninger, og opphevelse av Rådets rammebeslutning 2008/977/JIS.
Direktiv (EU) 2016/680 er vedtatt som en del av et nytt europeisk personvernregelverk, i tillegg til en generell forordning (EU) 2016/679 om behandling av personopplysninger. Direktivet skal erstatte rammebeslutning 2008/977/JIS om personvern innen politisamarbeid og annet rettslig samarbeid i straffesaker (heretter kalt rammebeslutningen), som er inntatt i Schengen-avtalen og gjennomført i politiregisterloven med tilhørende forskrift. Direktivet innebærer en videreutvikling av Schengen-regelverket. Direktivet er hjemlet i EU-pakten artikkel 8 nr. 1 og artikkel 16 nr. 1 i traktaten om den Europeiske Unions funksjonsmåte. Implementeringen av forordningen går i et eget løp, og omtales ikke nærmere her.
Norge er tilknyttet Schengen-samarbeidet gjennom avtale av 18. mai 1999 om Norge og Islands tilknytning til gjennomføringen, anvendelsen og videreutviklingen av Schengen-regelverket. Norske eksperter har i samsvar med avtalen deltatt i utformingen av regelverket. Norge skal på selvstendig grunnlag avgjøre om innholdet i rettsaktene skal godtas fra norsk side og innarbeides i norsk rett. I henhold til Schengen-avtalens artikkel 8 nr. 2 bokstav a skal EUs råd underrette Norge om vedtak om nye rettsakter som innebærer en videreutvikling av Schengenregelverket.
Gjennomføring av direktivet vil kreve endringer i norsk lovgivning. I samsvar med Grunnloven § 26 annet ledd og avtalen om tilknytning til Schengen-regelverket artikkel 8 nr. 2 bokstav c, må det derfor ved underretning til EU om norsk godtakelse av vedtak om videreutvikling av Schengen-regelverket, tas forbehold om Stortingets samtykke. Slik underretning ble besluttet ved kongelig resolusjon 28. oktober 2016.
Det fremmes en egen stortingsproposisjon med forslag om samtykke til godtakelse av direktivet.
Departementet gir i det følgende en oversikt over hovedinnholdet i direktivet, med fokus på de bestemmelsene som inneholder noe nytt i forhold til rammebeslutningen. En nærmere beskrivelse av innholdet i de bestemmelsene som nødvendiggjør lovendringer vil bli gitt i punkt 4.
Direktiv (EU) 2016/680 regulerer politiets og påtalemyndighetens behandling av personopplysninger til kriminalitetsbekjempende formål, og behandling av personopplysninger innenfor rammene av politisamarbeid og annet rettslig samarbeid i straffesaker. Direktivet er atskillig mer omfattende enn den tidligere rammebeslutningen. Direktivet har nesten dobbelt så mange artikler som rammebeslutningen, og i tillegg er artiklene mer detaljerte enn de tilsvarende bestemmelsene i rammebeslutningen. Dette har først og fremst sammenheng med ønsket om en størst mulig harmonisering mellom direktivet og den generelle forordningen (EU) 2016/679 om behandling av personopplysninger.
Den største forskjellen mellom direktivet og rammebeslutningen er anvendelsesområdet. Rammebeslutningen gjaldt i utgangspunktet bare for behandling av opplysninger som utveksles mellom medlemslandene, mens direktivet også gjelder for den nasjonale behandlingen av opplysninger.
Kapittel I omhandler formål, virkeområde og definisjoner. Nytt er at direktivet også gjelder for nasjonal behandling av opplysninger, og at det inneholder noen flere definisjoner. Nasjonale sikkerhetsmyndigheters behandling av personopplysninger var ikke omfattet av rammebeslutningen, og denne behandlingen ligger også utenfor direktivets anvendelsesområde.
Kapittel II inneholder grunnleggende bestemmelser om rettmessighet, forholdsmessighet og formålsbestemthet ved behandling av opplysninger, herunder at opplysningene må være relevante og tilstrekkelige. Nytt er at det i større grad skal skilles mellom kategorier av registrerte, for eksempel om en person er mistenkt, straffedømt eller vitne, og at det i større grad skal skilles mellom fakta og vurderinger. Videre regnes nå også biometri, DNA og seksuell orientering som sensitive opplysninger, der det oppstilles et strengere nødvendighetskrav enn ved behandling av andre opplysninger.
Kapittel III inneholder regler om informasjonsplikt, innsyn, retting, sletting og sperring. I tillegg er det gitt regler om den registrertes utøvelse av rettigheter gjennom tilsynsmyndigheten og særregler for behandling av opplysninger i straffesaker. Nytt er at det gis regler om informasjonsplikt, som i rammebeslutningen var overlatt til nasjonal lovgivning. Utover dette er det nytt at grunnløse eller gjentatte begjæringer om innsyn mv. kan avvises, og i tillegg er det gitt noe mer detaljerte saksbehandlingsregler.
Kapittel IV omhandler hvilke plikter som påligger den behandlingsansvarlige og databehandleren, krav til informasjonssikkerhet og personvernrådgiverordning. Nytt er at det legges opp til en obligatorisk personvernrådgiverordning, og at den registrerte som hovedregel skal varsles ved personvernbrudd. Nytt er også at det skal foretas en konsekvensutredning ved etablering av nye registre. Sistnevnte må ses i sammenheng med at forordning (EU) 2016/679 ikke har videreført den tidligere melde- og konsesjonsplikten for etablering av registre som fulgte av direktiv 95/46/EF. Rammebeslutningen hadde ingen tilsvarende bestemmelser.
Kapittel V inneholder generelle prinsipper om utlevering av opplysninger til tredjeland og internasjonale organisasjoner. Bestemmelsene berører imidlertid ikke avtaler som medlemslandene tidligere har inngått med tredjeland.
Kapittel VI omhandler uavhengige tilsynsmyndigheters kompetanse, oppgaver og virkemidler. Nytt er at tilsynsmyndighetene kan avvise eller kreve gebyr når den registrerte fremsetter grunnløse eller gjentatte begjæringer om kontroll.
Kapittel VII regulerer gjensidig bistand mellom tilsynsmyndighetene, både nasjonalt og mellom medlemslandene.
Kapittel VIII regulerer den registrertes rett til å klage til tilsynsmyndigheter samt retten til å saksøke både tilsynsmyndigheten, behandlingsansvarlig og databehandleren. I tillegg inneholder kapittelet bestemmelser om erstatning og sanksjoner. Nytt er at den registrerte har rett til å saksøke databehandleren. En tilsvarende bestemmelse finnes også i forordningen.
Det fremgår av artikkel 63 at medlemsstatene skal treffe de nødvendige tiltakene for at bestemmelsene i direktivet gjennomføres innen 6. mai 2018, og at medlemslandene sender Kommisjonen sitt nasjonale regelverk der bestemmelsene i direktivet er gjennomført.
Direktivet i uoffisiell norsk oversettelse følger som trykt vedlegg til proposisjonen.