ARTIKEL 29-Gruppen vedrørende Databeskyttelse

Transkript

1 ARTIKEL 29-Gruppen vedrørende Databeskyttelse 02107/07/DA WP 142 Udtalelse nr. 9/2007 om databeskyttelsesniveauet på Færøerne Vedtaget den 9. oktober 2007 Gruppen, der er nedsat ved artikel 29 i direktiv 95/46/EF, er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred, hvis opgaver er fastsat i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Gruppens sekretariat varetages af Europa-Kommissionens Generaldirektorat for Retfærdighed, Frihed og Sikkerhed, Direktorat C (Civilret, grundlæggende rettigheder og EU-borgerskab), B-1049 Bruxelles, Belgien, Kontor LX-46 06/80 Websted:

2 UDTALELSE FRA GRUPPEN VEDRØRENDE BESKYTTELSE AF FYSISKE PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER nedsat ved Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om databeskyttelsesniveauet på Færøerne GRUPPEN VEDRØRENDE BESKYTTELSE AF FYSISKE PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER HAR - under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger 1 ("direktivet"), særlig artikel 29 og artikel 30, stk. 1, litra b), under henvisning til gruppens forretningsorden 2, særlig artikel 12 og 14 - VEDTAGET FØLGENDE UDTALELSE: 1. INDLEDNING: FÆRØERNES DATABESKYTTELSESLOVGIVNING 1.1. Generelt om Færøerne Færøerne ligger i Nordatlanten. De består af 18 øer, der er adskilt fra hinanden af snævre sunde eller fjorde. Administrativt er de opdelt i 6 sysler og 34 kommuner. Færøerne indgår sammen med Danmark og Grønland i Kongerige Danmark, som er et konstitutionelt monarki. Siden hjemmestyreloven af 1948 har Færøerne været en selvstyrende del af Kongeriget Danmark. Ved hjemmestyreloven blev alle politikområder klassificeret i to hovedgrupper, nemlig fælles anliggender, som sorterer under rigsfællesskabet, og færøske særanliggender, som sorterer under det færøske hjemmestyre og færøsk lovgivning. Hjemmestyreloven giver de færøske myndigheder lagtinget og regeringen kompetence til at lovgive om og forvalte færøske særanliggender 3. Alle anliggender, der ikke er overgået til Færøerne som færøske særanliggender, henhører som fælles anliggender under rigsfællesskabets lovgivning og forvaltning FT L 281 af , s. 31, kan findes på Vedtaget af gruppen på dens tredje møde den Lov om Færøernes hjemmestyre, 1. 2

3 Men selv på disse områder kan de færøske myndigheder tillægges særlig kompetence, f.eks. til at forvalte eller vedtage særlige regler inden for rammerne af de kgl. anordninger. Når først et sagsområde er overført fra rigsmyndigheden, anses de færøske myndigheder for at have det fulde økonomiske, lovgivningsmæssige og administrative ansvar for det pågældende område. Reglerne om personoplysninger på Færøerne er baseret på love vedtaget af lagtinget og love om fællesanliggender. Loven om behandling af personoplysninger blev vedtaget af lagtinget i 2001 og forvaltes af det færøske datatilsyn. Den danske lov om behandling af personoplysninger finder kun anvendelse på behandling af personoplysninger foretaget af rigsmyndighederne (dvs. politiet, anklagemyndigheden, fængselsvæsenet, rigsombudsmanden for Færøerne, familieretlige anliggender, kirkemyndigheder). Eftersom den danske persondatalov 4 er baseret på direktivet, antages den at sikre mindst en tilstrækkelig beskyttelse ved behandling af personoplysninger, og denne udtalelse omhandler derfor ikke disse områder Gældende lovgivning om databeskyttelse Forarbejderne til den færøske databeskyttelseslov tyder på, at man tog hensyn til såvel den danske som den norske databeskyttelseslov. Efter en række erklæringer fra Danmark i årene mellem 1994 og 2003 blev protokol nr. 7, 9 og 13 til Den Europæiske Menneskerettighedskonvention af 1950 implementeret på Færøerne. Men ifølge en erklæring fra Danmark på ratificeringstidspunktet finder konvention 108 ikke anvendelse på Færøerne. Databeskyttelseslovgivningen indeholder en række forskellige regler om beskyttelse af den person, hvorom der behandles oplysninger. Disse regler er baseret på principper og værdier, der svarer til de EU-retlige. Loven om behandling af personoplysninger ("loven) 5 er hovedloven om databeskyttelse på Færøerne. Den afspejler klart direktivets indhold. I henhold til artikel 299 i traktaten om oprettelse af Det Europæiske Fællesskab finder direktivet ikke anvendelse på Færøerne, der følgelig betragtes som et tredjeland i relation til direktivets artikel 25 og Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger. Loven implementerer direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. 5 Lov nr. 73 af 8. maj

4 2. VURDERING AF, HVORVIDT FÆRØERNES PERSONDATALOV GIVER EN TILSTRÆKKELIG BESKYTTELSE AF PERSONOPLYSNINGER Artikel 29-Arbejdsgruppen vedrørende databeskyttelse ("arbejdsgruppen") har vurderet den færøske databeskyttelseslovgivning på grundlag af loven. Metodologiske kriterier De metodologiske kriterier for vurderingen af Færøernes databeskyttelseslovgivning er opstillet i arbejdsgruppens dokument Udlevering af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv (WP /98). 6 Disse kriterier kan opsummeres således: 1. Indholdsprincipper Afgrænsning af formålet Datakvalitet og -proportionalitet Gennemsigtighed Sikkerhed Ret til indsigt, berigtigelse og indsigelse Begrænsninger i videre overførsel Supplerende principper gældende for særlige former for behandling, f.eks. i forbindelse med i) følsomme oplysninger, ii) direkte markedsføring og iii) edb-baserede afgørelser 2. Procedure-/håndhævelsesmekanismer En høj grad af overholdelse af reglerne Støtte til individuelle registrerede Ydelse af passende genoprejsning til skadelidte Loven finder anvendelse på behandling af personoplysninger om fysiske personer i den private og den offentlige sektor. 7 Den finder dog kun anvendelse på 1) behandling af personoplysninger, der helt eller delvis foretages elektronisk, 2) ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. 8 Loven finder ikke anvendelse på behandlinger, som en fysisk person foretager med henblik på udøvelse af aktiviteter af rent privat karakter 9. Loven definerer "personoplysninger" som "enhver form for information om en identificeret eller identificerbar fysisk person ("den registrerede")". 10 Denne definition svarer til første del af definitionen på "personoplysninger" i direktivets artikel 2, litra a) Se også Europa-Kommissionens dokument Preparation of a methodology for evaluating the adequacy of the level of protection of individuals with regard to the processing of personal data (Luxembourg: EU's Publikationskontor, 1998). Lovens 1 og 3, stk. 1. Lovens 3, stk. 1. Denne regel stemmer overens med artikel 3, stk. 1, i direktiv 95/46/EF. Lovens 3, stk. 2. Lovens 2, stk. 1. 4

5 2.1. Indholdsprincipper Grundprincipper Formålsafgrænsningsprincippet kræver, at personoplysninger skal behandles til et ganske bestemt formål og derefter kun må benyttes eller videregives, hvis dette ikke er uforeneligt med formålet med overførslen. De eneste undtagelser fra denne regel er dem, der er nødvendige i et demokratisk samfund af en af de grunde, der er anført i direktivets artikel 13. Undtagelser er også mulige i henhold til direktivets artikel 9, når de er nødvendige for at sikre ytringsfriheden. Arbejdsgruppen finder, at den færøske lov opfylder dette krav. Lovens 8, stk. 2, fastsætter, at der kun må indsamles personoplysninger til nærmere bestemte, legitime formål i overensstemmelse med de opgaver, som den, der behandler dem, har, og at disse oplysninger ikke senere må behandles på nogen måde, der ikke er forenelig med disse formål. Undtagelser gælder kun i tilfælde af udtrykkeligt samtykke og til historiske, statistiske og videnskabelige formål, og der er således færre undtagelser end i direktivets artikel 13. Datakvalitets- og dataproportionalitetsprincippet kræver, at data skal være nøjagtige og om nødvendigt ajourførte. Data skal være fyldestgørende, relevante og ikke overdrevne i forhold til de formål, hvortil de videregives eller viderebehandles. Lovens 8, stk. 3, fastsætter, at oplysninger, som behandles, skal være relevante og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne behandles, og 8, stk. 6, fastsætter, at behandlingen af oplysninger skal foregå korrekt og tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at oplysninger, der viser sig at være urigtige eller vildledende, omgående slettes eller berigtiges. Arbejdsgruppen finder derfor, at den færøske lov opfylder dette krav. Gennemsigtighedsprincippet kræver, at fysiske personer skal oplyses om formålet med en behandling og den registeransvarliges identitet i tredjelande samt gives yderligere oplysninger, hvis dette er nødvendigt af hensyn til at sikre en loyal behandling. De eneste tilladte undtagelser skal være i overensstemmelse med direktivets artikel 11, stk. 2, og artikel 13. Dette krav opfyldes med lovens 21, der fastsætter, at hvor oplysninger ikke er indsamlet hos den registrerede, skal den dataansvarlige oplyse den registrerede om, hvilke personoplysninger der er indsamlet, den dataansvarliges identitet og til hvilke formål de er indsamlet, om personoplysningerne videregives, og i så fald til hvem, og give enhver anden oplysning, der er nødvendig, for at den registrerede kan varetage sine interesser i overensstemmelse med loven. Disse regler gælder ikke, hvis den registrerede allerede har fået disse oplysninger, hvis registreringen eller videregivelsen er fastsat ved lov, eller hvis det er umuligt eller uforholdsmæssigt vanskeligt at give disse oplysninger. 5

6 Undtagelserne når det kan skade statens sikkerhed eller udenrigspolitik at give disse oplysninger, når det drejer sig om at forebygge kriminalitet, når det af sundhedsmæssige eller personlige grunde ikke er i den registreredes interesse, og når der er mere tungtvejende offentlige eller private interesser på spil findes i 22 og stemmer generelt overens med de undtagelser, direktivet tillader. Sikkerhedsprincippet kræver, at den registeransvarlige skal træffe tekniske og organisatoriske sikkerhedsforanstaltninger, der er passende i forhold til de risici, behandlingen frembyder. Personer, der handler under den registeransvarliges ansvar, herunder registerførere, må kun behandle data, hvis dette sker efter instruks fra den registeransvarlige. Bestemmelserne om sikkerhed er indeholdt i lovens 31, stk Personer, virksomheder m.v., der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov. Behandlingen skal ske i henhold til en skriftlig aftale parterne imellem, der indeholder denne betingelse. Den dataansvarlige skal gennem de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger sikre, at behandlingen af personoplysninger foregår i overensstemmelse med lovens bestemmelser i relation til pålidelighed, personlig frihed og indsigt, og skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Den dataansvarliges og databehandlerens arbejdsgiver samt datatilsynet skal have adgang til dokumentation for de trufne organisatoriske sikkerhedsforanstaltninger. Den dataansvarliges instruks må ikke begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt. Den færøske lovs krav til tekniske og organisatoriske sikkerhedsforanstaltninger stemmer overens med dette princip. Kravene angående ret til indsigt, berigtigelse og indsigelse indebærer, at den registrerede skal have ret til at få udleveret en kopi af alle sine personoplysninger, der behandles, og ret til berigtigelse af sådanne personoplysninger, hvis de viser sig at være unøjagtige. I visse situationer skal den registrerede også have ret til at modsætte sig en behandling af sine data. De eneste undtagelser fra disse rettigheder bør være de undtagelser, der er nævnt i direktivets artikel 13. Hvad indsigtsretten angår, fastsættes det i lovens 19, at den dataansvarlige på den registreredes begæring skal oplyse navn og adresse på den dataansvarlige og dennes repræsentant og underordnede, hvad der er formålet med behandlingen og på hvilken måde den foregår, hvilke oplysninger der behandles, hvorfra de stammer, om der er udleveret oplysninger og i så fald til hvem, og hvilke sikkerhedsforanstaltninger der er truffet, i det omfang, hvor det ikke vil være til skade for sikkerheden. I den henseende forekommer den færøske lov at opfylde WP12-kravene. 6

7 Undtagelserne, der findes i artikel 22, stk. 1, 3 og 4, ser ud til at stemme overens med, hvad der tillades i direktivets artikel 13. Der kan sættes spørgsmålstegn ved, om undtagelsen angående oplysninger, der udelukkende anvendes i forvaltningen og ikke videregives til andre, stemmer overens med denne artikel. Reglerne om meddelelse af oplysninger finder tilsyneladende ikke anvendelse i denne situation, hvilket indebærer, at retten til at blive informeret bortfalder i det øjeblik, hvor oplysningerne udelukkende anvendes i forvaltningen og ikke videregives til andre. Færøerne har meddelt Artikel 29-Arbejdsgruppen, at den oprindelige oversættelse af den færøske lovs 22, stk. 1, nr. 5, er ukorrekt. Oversættelsen skulle have lydt således: "som udelukkende findes i tekster udarbejdet med henblik på interne forberedelser, og ikke er blevet videregivet til andre". Færøerne har desuden meddelt Artikel 29-Arbejdsgruppen, at undtagelsen bør ses i sammenhæng med den færøske lov om offentlighed i forvaltningen, som den færøske lov om behandling af personoplysninger indeholder henvisninger til. Loven om offentlighed i forvaltningen fastsætter bl.a., at interne dokumenter udgør en undtagelse fra indsigtsretten, men at det stadigvæk er muligt at få indsigt i de konkrete oplysninger i disse akter. Denne regel svarer til reglerne om interne akter i den danske lov om offentlighed i forvaltningen. Endelig har Færøerne meddelt Artikel 29-Arbejdsgruppen, at undtagelsen i 22, stk. 1, nr. 5, er taget direkte fra den norske lov om behandling af personoplysninger. Under hensyn til de supplerende oplysninger fra Færøerne om undtagelsesbestemmelsens ordlyd og fortolkning forekommer undtagelsen angående retten til at blive underrettet om interne dokumenter ikke at udgøre nogen alvorlig begrænsning af indsigtsretten. Hvad berigtigelsesretten angår, pålægger lovens 27 den dataansvarlige pligt til at sørge for at berigtige, slette eller blokere persondata og give en tredjemand, som har fået udleveret personoplysninger, underretning herom, enten på eget initiativ eller på den registreredes begæring, og denne regel opfylder kravene i WP12 om, at den registrerede har ret til at få urigtige oplysninger slettet. Indsigelsesretten findes i lovens 26, der fastsætter, at den registrerede til enhver tid kan gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling, og hvis indsigelsen derefter tages til følge, må disse oplysninger ikke længere behandles. Denne bestemmelse giver den registrerede videre rettigheder end kravet i WP12 om, at der "under visse omstændigheder" bør gælde en indsigelsesret. Begrænsninger i den videre overførsel kræver, at videre overførsel af personoplysninger fra den oprindelige datamodtager kun er tilladt, hvis den efterfølgende modtager (dvs. modtageren af den videre overførsel) også er underlagt regler, der giver et tilstrækkeligt beskyttelsesniveau. Enhver undtagelse herfra skal være i overensstemmelse med direktivets artikel 26, stk. 1. 7

8 Ifølge lovens 16 må der kun overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau, og datatilsynet har givet tilladelse dertil. Om det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, vurderes på grundlag af samtlige de forhold, der har indflydelse på en overførsel, herunder navnlig behandlingens formål og varighed, oplysningernes art og de retsregler, regler for god forretningsskik og sikkerhedsforanstaltninger, der gælder i tredjelandet. Der kræves tilladelse fra Datatilsynet til overførsel af personoplysninger til andre lande. 11 Justitsministeriet kan dog efter indstilling fra Datatilsynet bestemme, at der kan overføres oplysninger til bestemte lande uden Datatilsynets tilladelse. 12 Disse regler findes i ministerialanordning nr. 33, hvori det fastsættes, at der kan overføres personoplysninger til EU-lande, Island, Norge, Schweiz, Argentina, Guernsey og Isle of Man uden Datatilsynets tilladelse. 13 Ved overførsel af personoplysninger til andre lande ser det således ud til, at der kræves en vurdering svarende til den, der foretages efter EU-retten. 14 Det er Datatilsynet, der foretager denne vurdering. Lovens bestemmelser om overførsel af personoplysninger ser ud til at opfylde WP 12- kriterierne. De eneste undtagelser 15 stemmer overens med dem, der tillades efter direktivets artikel 26. Supplerende principper gældende for bestemte typer behandling: Følsomme oplysninger - Hvis der er tale om oplysninger af "følsom" karakter (oplysningerne i direktivets artikel 8), skal der foreligge supplerende garantier, f.eks. krav om, at den registrerede udtrykkeligt skal give sit samtykke til en behandling. Definitionen af følsomme oplysninger i loven 16 i er i overensstemmelse med artikel 8. Loven fastsætter bestemmelser om behandling af følsomme oplysninger. Kravet i WP12 er, at der for behandling af følsomme personoplysninger skal være indført yderligere sikkerhedsforanstaltninger, og at der udtrykkeligt skal kræves samtykke fra den registrerede. Lovens 10 opstiller de betingelser, der skal være opfyldt for behandling af følsomme personoplysninger. Direkte markedsføring - Hvis oplysninger videregives med henblik på direkte markedsføring, skal den registrerede have mulighed for på et hvilket som helst stadium at frabede sig, at oplysninger om ham eller hende gøres til genstand for en sådan behandling. Ifølge loven må der kun videregives oplysninger med henblik på markedsføring, hvis den registrerede har givet samtykke hertil. Oplysninger om en forbruger må kun videregives til tredjemand med henblik på markedsføring eller anvendes på en tredjemands vegne, hvis den registrerede udtrykkeligt har givet samtykke hertil, 17 og et sådant samtykke kan til enhver tid trækkes tilbage. 18 Den registrerede har ret til at Lovens 16, stk. 1. Lovens 16, stk. 2. Ministerialanordning nr. 33 af om overførsel af personoplysninger til andre lande uden Datatilsynets forudgående tilladelse, 1, stk. 1. Den færøske lov er dog lidt forskellig fra artikel 25 i direktiv 95/46/EF. Lovens 17. Lovens 2, stk. 9. Lovens 9, stk Lovens 29. 8

9 gøre indsigelse mod behandling af sine oplysninger 19, hvilket indebærer, at hvis indsigelsen tages til følge 20, kan den pågældende frabede sig, at oplysningerne anvendes til markedsføringsformål. Denne indsigelsesret kan udøves til enhver tid. 21 Det beskyttelsesniveau, den færøske lov yder i relation til direkte markedsføring, stemmer således overens med WP12. Edb-baserede individuelle afgørelser - Hvis formålet med en overførsel er at træffe en edb-baseret afgørelse i den i direktivets artikel 15 anvendte betydning, har den registrerede ret til at få oplyst, hvad der ligger bag afgørelsen, og der skal træffes andre foranstaltninger til at beskytte den fysiske persons legitime interesser. Færøerne har meddelt Artikel 29-Arbejdsgruppen, at den færøske lov på nuværende tidspunkt ikke indeholder nogen særlige regler om edb-baserede afgørelser. Efter Færøernes opfattelse yder andre af lovens bestemmelser bl.a. indsigtsretten, oplysningspligten og indsigelsesretten en tilstrækkelig beskyttelse af de registrerede. Hvad angår afgørelser fra offentlige myndigheder, yder forvaltnings- og aktindsigtslovene en yderligere beskyttelse. I overensstemmelse med uskrevne forvaltningsregler gældende på Færøerne skal offentlige myndigheder behandle hver enkelt sag for sig og kan derfor ikke gøre brug af automatiserede, edb-baserede afgørelser Procedure-/håndhævelsesmekanismer Ifølge WP12-principperne skal man ved vurderingen af, hvorvidt et tredjelands retssystem giver en tilstrækkelig databeskyttelse, kortlægge de grundlæggende målsætninger for et proceduresystem inden for databeskyttelse og med dette som udgangspunkt vurdere de mange forskellige retslige og ikke-retslige proceduremekanismer, der benyttes i det land. Målsætningerne for et databeskyttelsessystem er at tilvejebringe en høj grad af overholdelse af reglerne, at yde støtte og hjælp til individuelle registrerede i udøvelsen af deres rettigheder og at yde en passende genoprejsning til skadelidte i tilfælde af, at reglerne overtrædes. En høj grad af overholdelse af reglerne betyder, at systemet generelt er kendetegnet ved, at de registeransvarlige i høj grad er bevidst om deres forpligtelser, og at de registrerede i høj grad er bekendt med deres rettigheder og mulighederne for at håndhæve dem. Den omstændighed, at der findes effektive og afskrækkende sanktioner, har stor betydning for at sikre overholdelse af reglerne, hvilket naturligvis ligeledes gælder systemer, hvor myndighederne, revisorer eller uafhængige databeskyttelsesorganer øver direkte kontrol. Arbejdsgruppen har noteret, at den færøske lov indeholder en række elementer, herunder de følgende, der tjener dette formål Lovens 26, stk. 1. Lovens 26, stk. 2. Lovens 26, stk. 1. 9

10 (a) Datatilsyn Den færøske lov indeholder bestemmelser om et datatilsyn. 22 Datatilsynet, der består af et råd og et sekretariat, fører tilsyn med enhver behandling, der omfattes af loven, og udøver sine funktioner i fuld uafhængighed. Det betyder, at regeringen ikke kan give datatilsynet anvisninger eller instrukser. De af datatilsynet trufne afgørelser er endelige og kan ikke ankes hverken til justitsministeriet eller nogen anden forvaltningsmyndighed. Rådets medlemmer udnævnes af justitsministeriet for 4 år. Rådsmedlemmerne kan som hovedregel ikke afsættes. I ekstraordinære tilfælde kan ministeren imidlertid afsætte et medlem, f.eks. hvis vedkommende har gjort sig skyldig i bedrageri. Medlemmerne handler desuden inden for rammerne af habilitetsregler, der sikrer fuld uafhængighed i rådets afgørelser. Datatilsynets virke finansieres over Færøernes finanslov, der vedtages af lagtinget. Datatilsynet er opført på det budget, lagtinget har afsat til justitsministeren. Når først lagtinget har truffet en afgørelse, er det datatilsynet, der selv administrerer bevillingen. I betragtning af ovennævnte garantier kan der ikke herske nogen tvivl om, at kravene til datatilsynets fulde uafhængighed er opfyldt. Endelig kan nævnes, at det færøske datatilsyn er organiseret på nøjagtigt samme måde som det danske. Datatilsynets opgaver består i enten af egen drift eller efter en klage at påse, at behandling af oplysninger sker i overensstemmelse med loven, at behandle anmeldelser og ansøgninger om tilladelser, at føre et offentligt register over alle anmeldelser og tilladelser, at afgive udtalelser om lovforslag, at føre tilsyn med behandling af persondata, om fornødent at opstille retningslinjer for den private og den offentlige sektor, at sikre en god databehandlingsskik og overvåge udviklingen i behandlingen af personoplysninger i sit land og i tredjelande samt oplyse om denne udvikling. Datatilsynet kan påbyde en dataansvarlig at ophøre med en behandling af personoplysninger, der ikke må finde sted, og berigtige, slette eller blokere bestemte oplysninger, der ikke må behandles. Det kan forbyde en dataansvarlig at anvende en nærmere angiven fremgangsmåde, hvis der er risiko for, at der behandles oplysninger i strid med loven, det kan påbyde en dataansvarlig at træffe bestemte tekniske og organisatoriske sikkerhedsforanstaltninger mod, at der behandles oplysninger, som ikke må behandles, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven, og i særlige tilfælde kan det meddele databehandlere forbud eller påbud. 22 Lovens

11 Datatilsynets medlemmer og personale har til enhver tid uden retskendelse adgang til alle lokaler, hvorfra en behandling, som foretages for den offentlige forvaltning, administreres, eller hvorfra der er adgang til de oplysninger, som behandles, samt til lokaler, hvor oplysningerne eller tekniske hjælpemidler opbevares eller anvendes. Disse beføjelser opfylder kravene til et tilstrækkeligt tilsyn. Datatilsynet udsender årsberetninger om alle sine aktiviteter. Disse beretninger er offentligt tilgængelige på Datatilsynets hjemmeside. 23 Datatilsynet har indtil nu udsendt 3 beretninger, der dækker årene 2002, 2003 og (b) Passende håndhævelsesmidler og sanktioner For at fremme overholdelsen af lovens bestemmelser fastsætter den færøske persondatalov desuden en række sanktioner og straffe i tilfælde af tilsidesættelse af reglerne. Men hvis anden lovgivning foreskriver højere straf, pålægges straffen på grundlag af denne anden lovgivning. 25 Det er kun domstolene, der kan idømme straf. 26 Der er strafansvar for tilsidesættelse af alle de væsentlige bestemmelser i loven, og straffen består i bøde eller hæfte samt skadeserstatning i forbindelse med de i 31 omhandlede sikkerhedsforanstaltninger. Strafansvar påhviler ikke alene fysiske personer, men kan også påhvile juridiske personer. Støtte til individuelle registrerede betyder, at en fysisk person skal være i stand til at håndhæve sine rettigheder hurtigt og effektivt uden uforholdsmæssigt store udgifter. Der skal til dette formål oprettes en institutionel mekanisme, der giver mulighed for en uafhængig behandling af klager. De registreredes rettigheder er opregnet i lovens kapitel fastsætter, hvordan en registreret kan håndhæve sine rettigheder det sker ved at indgive klage til Datatilsynet. Som et alternativ hertil kan en registreret også udøve sin almindelige ret til at gå direkte til domstolen. De afgørelser, der træffes af Datatilsynet, kan ikke indbringes for hverken justitsministeriet eller nogen anden forvaltningsmyndighed, men kan kun indbringes for en domstol. En af Datatilsynets opgaver består i at vejlede om fortolkningen af loven. Enhver kan henvende sig til tilsynet og få behandlet en klage. Borgerne kan i særdeleshed anmode Datatilsynet om en vurdering af bestemte spørgsmål og dermed opnå en institutionel støtte i disse spørgsmål. Den nærmere fremgangsmåde for at opnå denne vurdering er indgående beskrevet på Datatilsynets hjemmeside, og rådgivningen er gratis Lovens 41. Beretningerne findes på færøsk på Datatilsynets hjemmeside. Lovens 44, stk. 1. Danmarks grundlov af 5. juni 1953, 3 og 63. Lovens

12 Passende genoprejsning er et nøgleelement, der skal omfatte et system med uafhængige kendelser eller voldgift, der gør det muligt at udbetale kompensation og at iværksætte sanktioner, hvor det måtte være relevant. Lovens 46 fastsætter, at den dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i denne lov, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af personoplysninger. 44 og 45 omhandler sanktioner bøde eller hæfte for overtrædelser af loven. Den, der driver eller er beskæftiget med virksomhed bestående i behandling af personoplysninger, kan ved dom for strafbart forhold frakendes retten hertil. Arbejdsgruppen finder derfor, at den færøske lov åbner tilstrækkelig mulighed for en passende genopretning af den skade, som enkeltpersoner måtte have lidt som følge af en overtrædelse af de gældende regler. 3. RESULTATET AF VURDERINGEN Den færøske lov opfylder muligvis ikke hvert eneste af de krav, databeskyttelsesdirektivet pålægger medlemsstaterne, men arbejdsgruppen påpeger, at et tilstrækkeligt databeskyttelsesniveau ikke er ensbetydende med, at det skal være fuldt på højde med direktivets beskyttelsesniveau. På grundlag af ovenstående konstateringer og de supplerende oplysninger fra Færøerne konkluderer gruppen derfor, at Færøerne sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 6, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Udfærdiget i Bruxelles, den 9. oktober 2007 På Arbejdsgruppens vegne Formanden Peter SCHAAR 12