3 Nærmere om innholdet i rammebeslutningen
I det følgende gjennomgås enkelte av rammebeslutningens sentrale bestemmelser:
Artikkel 3 inneholder grunnleggende bestemmelser om rettsmessighet, forholdsmessighet og formålsbestemthet ved behandling av opplysninger, herunder at opplysningene må være relevante og tilstrekkelige.
Artikkel 4 inneholder regler om retting, sletting og sperring. Det følger av nr. 1 at uriktige opplysninger skal rettes, suppleres eller oppdateres. Etter nr. 2 skal personopplysninger slettes eller anonymiseres når de ikke lenger er nødvendige for det formålet de ble innhentet for eller videre anvendt. Det fremgår uttrykkelig at bestemmelsen ikke er til hinder for at et sett av opplysningene arkiveres i samsvar med nasjonal lovgivning. For det tilfelle at sletting kan ramme den registrertes legitime interesser, foreskriver nr. 3 at opplysningene heller skal sperres. Sperrede data skal behandles til det formål som forhindret sletting. Nr. 4 inneholder en særregel for så vidt gjelder personopplysninger i en rettsavgjørelse eller en mappe knyttet til en rettsavgjørelse. Bestemmelsen foreskriver at retting, sletting og sperring her skal skje i tråd med nasjonale rettergangsregler. Tilsvarende gir artikkel 18 den registrerte rett til å kreve slik retting og sletting.
Artikkel 5 gir anvisning på at det skal fastsettes passende frister for sletting eller regelmessig kontroll av behovet for fortsatt lagring, samt at det etableres rutiner som sikrer at fristene blir overholdt.
Artikkel 7 pålegger de ansvarlige myndigheter å treffe nødvendige tiltak for å unngå at det videreformidles opplysninger som er uriktige, ufullstendige eller ikke lenger aktuelle. Dersom det er knyttet usikkerhet til opplysningenes kvalitet, skal mottakeren informeres om dette. Videre fremgår det av nr. 2 at mottakeren straks skal varsles dersom det viser seg at tidligere tilsendte opplysninger er uriktige mv.
Artikkel 10 gir anvisning på at enhver videreformidling av personopplysninger må protokolleres eller på annen måte kunne dokumenteres.
Artikkel 11 regulerer til hvilke formål personopplysninger, som ble mottatt av en annen medlemsstat, kan behandles, mens artikkel 13 og 14 gir nærmere bestemmelser om til hvilke formål eller under hvilke omstendigheter slike opplysninger kan videreformidles til tredjeland eller til private.
Artikkel 16 i rammebeslutningen krever at medlemsstatene skal sikre at den registrerte informeres om at det samles inn eller behandles opplysninger om ham. Når opplysningene overføres mellom medlemsstater, kan en stat – i tråd med nasjonal rett – anmode den andre om ikke å informere den registrerte. I slike tilfeller skal ikke sistnevnte stat informere den registrerte uten den andre statens samtykke.
Artikkel 17 regulerer retten til innsyn. Av nr. 1 fremgår det at rettssubjektet har krav på enten, etter forespørsel, å motta bekreftelse fra den behandlingsansvarlige om hvorvidt opplysninger om vedkommende har blitt utlevert eller gjort tilgjengelige og informasjon om mottaker og hvilke opplysninger som blir behandlet («direkte innsyn»), eller bekreftelse fra nasjonal tilsynsmyndighet om at de nødvendige kontroller har funnet sted («indirekte innsyn»). Nr 2 åpner for mulighet til å gjøre unntak fra retten til direkte innsyn, når dette er et nødvendig og proporsjonalt tiltak for å ivareta visse hensyn, herunder hensynet til etterforskningen, nasjonal sikkerhet og rettighetene til tredjemann.
Artikkel 21 inneholder regler om taushetsplikt. Bestemmelsens nr. 1 foreskriver at bare kompetent myndighet (jf. definisjonen i artikkel 2 bokstav i) kan behandle opplysninger som faller inn under rammebeslutningens anvendelsesområde, med mindre andre myndigheter er rettslig forpliktet til det. Med kompetent myndighet siktes det til myndighet opprettet ved en rettsakt vedtatt av Rådet i medhold av EU-traktaten avsnitt VI og politi, toll, judisiell eller annen kompetent myndighet i medlemsstatene som er autorisert etter nasjonal rett til å behandle personopplysninger innenfor rammebeslutningens anvendelsesområde. Av nr. 2 følger det at personer som jobber for kompetent myndighet skal være bundet av de personvernregler som gjelder for den relevante kompetente myndighet. Dette gjelder ikke bare ansatte, men også personer som tar oppdrag eller utfører tjenester for vedkommende myndighet.
Artikkel 22 gir anvisning på detaljerte bestemmelser om informasjonssikkerhet, herunder at medlemslandene treffer egnede tekniske og organisatoriske tiltak for å sikre uautorisert tilgang til og bruk av lagrede opplysninger, samt at det senere kan kontrolleres hvem som fikk tilgang og hvilke opplysninger som ble endret eller formidlet.
Artikkel 25 pålegger medlemslandene å sikre at uavhengige tilsynsorganer fører tilsyn med behandlingen av personopplysninger, og i nr. 2 gis det en opplisting av hvilke beføyninger tilsynsmyndigheten skal ha. Videre fremgår det av nr. 3 at enhver person (den registrerte) skal kunne anmode tilsynsmyndigheten om kontroll av om behandlingen av opplysninger om vedkommende er rettmessig.
Artikkel 27 er en evalueringsklausul. Medlemsstatene skal senest 3 år etter gjennomføringen av rettsakten informere Kommisjonen om hvilke tiltak som er satt i verk for å sikre at informasjonsutvekslingen er i overensstemmelse med rammebeslutningen. Hvis evalueringen viser at rammebeslutningens anvendelsesområde bør utvides for å beskytte den registrerte og fremme det rettslige og politimessige samarbeidet, har Kommisjonen mulighet til å fremme forslag om dette.
Artikkel 29 pålegger medlemsstatene å treffe de nødvendige tiltak for at bestemmelsene i rammebeslutningen gjennomføres innen 27. november 2010, og at medlemslandene tilsender Rådets generalsekretariat og Kommisjonen sitt nasjonale regelverk der bestemmelsene i rammebeslutningen er gjennomført.