16 Meldeplikt og tilsynsordning
16.1 Meldeplikt
16.1.1 Innledning
I dette punkt behandles spørsmålene knyttet til meldeplikt, herunder om det skal være meldeplikt eller konsesjonsplikt for politiets behandling av opplysninger. Da personopplysningsloven ble vedtatt ble meldeplikt innført som hovedregel, mens konsesjonsplikt var hovedregelen i den foregående personregisterloven. De særlige spørsmål som knytter seg til meldeplikt er hva som er meldepliktig, hva en melding skal inneholde, hvem som er ansvarlig for å melde og hvem det skal meldes til, når det skal meldes og om meldingene skal være offentlig tilgjengelige.
Meldeplikten har flere formål. Den skal gjøre behandlingens formål og viktigste særtrekk tilgjengelig for offentligheten, slik at enhver kan få kjennskap til behandlingen og kontrollere om den er i samsvar med de regler som gjelder for behandlingen. Å kjenne til behandlingen er en forutsetning for den registrerte for at han skal kunne utøve sine rettigheter. Videre bør kontrollmyndighetene ha oversikt over behandlingene, for å kunne utføre sin virksomhet. Meldingen kan også skape god kontakt mellom behandlingsansvarlig og kontrollorganet.
Meldeplikt vil også skape en høyere bevissthet om behandlingen hos den behandlingsansvarlige og andre brukere av systemet, da meldeskjemaet gjør det nødvendig å gå inn på detaljene ved aktuelle regler av betydning for behandlingen. For eksempel må formål, opplysningstyper, sikkerhetsrutiner og lignende rapporteres.
16.1.2 Nasjonale og internasjonale rammer for lovgivningen
Det følger av personopplysningsloven § 31 at «[d]en behandlingsansvarlige skal gi melding til Datatilsynet før a) behandling av personopplysninger med elektroniske hjelpemidler». For behandlinger som inneholder sensitive opplysninger, er hovedregelen at behandlingen er konsesjonspliktig, jf. personopplysningsloven § 33 første ledd. Datatilsynet har videre fått rett til å kreve konsesjon, uten at det behandles sensitive opplysninger, dersom behandlingen «åpenbart vil krenke tungtveiende personverninteresser», jf. § 33 annet ledd.
Fra disse hovedreglene er det gjort unntak. For det første er det ikke konsesjonsplikt for behandling av personopplysninger i organ for stat eller kommune når behandlingen har hjemmel i egen lov, jf. personopplysningsloven § 33 fjerde ledd. For at unntaket skal komme til anvendelse, må lovbestemmelsen gi tilstrekkelig veiledning om behandlingen. Det er ikke nok at regelverket forutsetter en behandling, behandlingen må være eksplisitt regulert. Dette er en parallell vurdering med den som må foretas etter personopplysningsloven § 5. Selv om konsesjonsplikt er unntatt, må bestemmelsen forstås slik at behandlingsansvarlig likevel har meldeplikt for disse behandlingene etter personopplysningsloven § 31, da Datatilsynet har alminnelig tilsynskompetanse. For det andre kan konsesjonsplikt unntas i forskrift, jf. personopplysningsloven § 33 femte ledd. I personopplysningsforskriften kapittel 7 unntas både meldeplikt og konsesjonsplikt med hjemmel i denne bestemmelsen for en rekke situasjoner. Meldinger og konsesjoner er offentlig tilgjengelige.
Meldeplikten er også nedfelt i personverndirektivet artikkel 18. På samme måte som i personopplysningsloven kreves melding før behandlingen iverksettes. I henhold til direktivet artikkel 21 nr. 2 skal tilsynsmyndigheten føre et offentlig tilgjengelig register over behandlinger som er meldt. For behandlinger som kan innebære særlige farer for de registrertes rettigheter og friheter, skal det være forhåndskontroll, for eksempel ved konsesjonsplikt, jf. artikkel 20 nr. 1. Direktivet åpner ikke for unntak fra meldeplikten av hensyn til rikets sikkerhet eller kriminalitetsbekjempelse, slik det er gjort i en del andre rettigheter og plikter, som for eksempel innsynsrett og informasjonsplikt.
I politirekommandasjonen oppstilles i punkt 1.4 krav om informasjonsplikt til kontrollmyndigheten for permanente registre. Det skal varsles om filens natur, hvem som er ansvarlig for behandlingen, dets formål, typen data i registeret og til hvilke personer opplysningene kan utveksles. Det samme vil gjelde for ad hoc-registre som opprettes. For ikke å skape unødig byråkrati, åpnes det imidlertid for at det fastsettes retningslinjer for hvilke ad hoc-registre som skal varsles. Registre som blir opprettet for et bestemt formål og som raskt blir slettet, er ikke nødvendig å varsle. I evalueringen av Europarådets politirekommandasjon foreslås det at politiet må foreta forskjellige rapporteringer til overordnet myndighet, for eksempel hvor mange personer som er utsatt for «criminal intelligence».
Rammebeslutning om personvern i tredje søyle setter i artikkel 23 krav til en forutgående høring hos tilsynsmyndighetene for særlig sensitive opplysninger eller der behandlingsmåten innebærer særlige risiki for den registrerte. Denne bestemmelsen minner etter sitt innhold om norsk retts meldeplikt, men artikkel 23 er snevrere i sitt omfang slik at det i hovedtrekk bare kan sies at det etter denne bestemmelsen foreligger meldeplikt ved behandling av særlig sensitive opplysninger. Rammebeslutningen forutsetter imidlertid også i artikkel 25 om nasjonale tilsynsmyndigheter at tilsynsmyndighetene får kjennskap til behandlingen, jf. nærmere om dette i punkt 16.2.
16.1.3 Utvalgets forslag
Spørsmålet om meldeplikt blir behandlet i kapittel 19 i utredningen.
Utvalget skiller i utredningen mellom å behandle og en behandling. Å behandle er en betegnelse på politiets bruk av opplysningene, mens en behandling refererer til en konkret samling av opplysninger, gjerne et register eller et system. Utvalget legger dette skillet i begrepsbruk til grunn når utvalget behandler spørsmålet om meldeplikt og det er kun en behandling, etter utvalgets definisjon av begrepet, som skal underlegges meldeplikt. Begrepet å behandle er definert i lovforslaget § 2 nr. 2, og nærmere vurdert i pkt 7.2.2.
Utvalget foreslår at det skal være meldeplikt og ikke konsesjonsplikt for politiets og påtalemyndighetens behandling av opplysninger. Utvalget finner at det er avgjørende at offentligheten får kunnskap om den behandling som skjer, slik at enhver kan ivareta sine rettigheter, samt at en oversikt over behandlingene vil gjøre kontrollorganets arbeid enklere. I og med at utvalget foreslår at enhver behandling må være hjemlet i lov eller forskrift før behandlingen kan starte, finner utvalget at det ikke vil være nødvendig med ytterligere forhåndskontroll gjennom konsesjon, selv om behandlingene kan være inngripende og inneholde store mengder sensitive opplysninger.
Med hensyn til hva som utløser meldeplikt anbefaler utvalget at alle behandlinger skal meldes, jf også utgangspunktet i personopplysningsloven. Det er således tre situasjoner hvor det oppstår meldeplikt:
Ved en ny behandling
Ved endringer i en behandling som allerede er meldt (endringsmelding)
En bestemt tidsperiode etter forrige melding (fornyet melding)
Vedrørende hva som skal regnes som en ny behandling uttaler utvalget følgende i utredningens punkt 19.6.1:
«Hva som skal regnes som en ny behandling, og som således utløser en meldeplikt, vil bero på en konkret vurdering. Det er ikke slik at det utløses meldeplikt hver gang politiet registrerer nye opplysninger, eller hver gang det foretas en annen form for operasjon, som innsamling, lagring, utlevering, eller noen av de andre alternativene som er nevnt i lovforslaget § 2 nr.2.
Vurderingen av om det er en eller flere behandlinger har flere likhetstrekk med vurderingen av om det foreligger ett eller flere formål, se punkt 11.4.1. I forarbeidene til helseregisterloven er det i generelle termer beskrevet hva som skal anses som en behandling: «Formålsbeskrivelsen, herunder en beskrivelse av kilden til og adressaten for opplysningene samt de ulike operasjonene eller håndteringer opplysningene forutsettes å gjennomgå, er avgjørende for om flere operasjoner skal anses å være en behandling av helseopplysninger» (se Ot.prp nr. 5 (1999-2000) s. 71). Dette vil gjelde også for politiet. Videre kan flere ulike personvernmessige behov tale for at det er en ny behandling. Et typisk eksempel er vaktjournalen, som i utgangspunktet består av flere andre behandlingsformål, men de særskilte personverninteressene gjør at journalen må anses som et eget formål, og også en egen behandling, se nærmere punkt 11.4.5.
I vurderingen av om en behandling hos politiet utløser meldeplikt, kan det være hensiktsmessig å ta utgangspunkt i registerbegrepet, hvor ethvert register normalt utløser meldeplikt. For eksempel vil BL utløse meldeplikt i hvert eneste distrikt. Siden loven ikke er begrenset til registre, men generelt omfatter behandling av opplysninger, vil meldeplikten kunne gjelde mer enn registre. Behandlinger som foretas utenfor de tradisjonelle registrene, må også meldes, dersom det anses som en egen behandling. Meldeplikten unngås ikke ved at opplysningene behandles, herunder lagres og brukes, utenfor de etablerte registrene.
Et politidistrikt kan ha flere meldinger som i og for seg har samme formål, men som må meldes hver for seg. Et praktisk eksempel er der politidistriktet har lokale etterretningsregistre i tillegg til Krimsys. Den behandlingsansvarlige må sende melding både for det lokale etterretningsregister og Krimsys. Det lokale registeret skiller seg ad fra Krimsys, blant annet med tanke på hvem som har tilgang til det. Men hvis politiet tar opplysninger fra Krimsys, og behandler dem på en lokal PC, vil dette i prinsippet fortsatt være Krimsys, selv om opplysningene ikke oppbevares i registeret. Dette er således ikke meldepliktig. Det kan imidlertid tenkes unntak, for eksempel dersom den lokale PC ikke tilfredsstiller informasjonssikkerhetskravene i den opprinnelige meldingen. I så fall anses dette som et nytt lokalt register, og altså en behandling som må meldes.
Det som tidligere utløste konsesjonsplikt etter personregisterloven, utløser nødvendigvis ikke en meldeplikt etter politiregisterloven. At opplysningene flyttes over i et nytt fysisk register, der formål, tilgang, sikkerhet med videre er det samme, utløser ikke en meldeplikt. Dersom det for eksempel lages et nytt og forbedret etterretningsregister, hvor opplysningene, tilgang og alt annet er tilsvarende Krimsys, utløser det i utgangspunktet ikke ny meldeplikt. Derimot kan det være nødvendig med en endringsmelding»
For sentrale systemer, det vil si hvor systemet er landsdekkende i den forstand at alle eller de fleste politidistrikter har tilgang til det, anbefaler utvalget at både det sentrale organet og det lokale organet er forpliktet til å sende melding. Dette ut fra at utvalget anbefaler at det for sentrale systemer skal være et delt behandlingsansvar og at alle behandlingsansvarlige vil ha plikt til å melde sine behandlinger. Utvalget anbefaler videre at det for sentrale systemer benyttes en hovedmelding og en tilslutningsmelding. Hovedmeldingen skal sendes av den som er sentralt ansvarlig for registeret, og alle som har tilgang til systemet skal sende en tilslutningsmelding.
Når det gjelder særskilte behandlinger eller egne registre i konkrete straffesaker finner utvalget at de hensyn som begrunner meldeplikten i tilstrekkelig grad ivaretas uten at slike «etterforskingsregistre» meldes særskilt. Utvalget presiserer at de alminnelige saksbehandlingsreglene som gjelder for den enkelte straffesak vedrørende dokumentinnsyn vil komme til anvendelse uavhengig av hvor og hvordan opplysningene er lagret.
Utvalget åpner for to løsninger for så vidt gjelder meldeplikt for den behandling av opplysninger som skjer i forhold til politiets adgang til å oppbevare opplysninger i 4 måneder uten at alle alminnelige kvalitetskrav er oppfylt, jf. utvalgets forslag til § 9. Behandling av opplysninger innenfor 4-månedersregelen kan anses både som en egen behandling som må meldes særskilt, men kan også ses som et unntak fra kvalitetsreglene for andre behandlinger og meldes sammen med disse. Utvalget finner at det må være opp til politiet hvorledes de velger å se på dette.
Utvalget foreslår at det må sendes ny melding, endringsmelding, dersom parametrene i meldingen endrer seg, jf også personopplysningsloven § 31. Meldingen må sendes før endringen tas i bruk. Dette vil gjelde både for alminnelig melding, hovedmelding og tilslutningsmelding. Plikten til å sende ny melding gjelder uavhengig av om det er en endring i den opprinnelige meldingen eller om endringen i behandlingen er så stor at det må anses som en helt ny behandling. Hensikten med og bruken av politiets meldinger tilsier at meldingene er oppdaterte til enhver tid.
På samme måte som etter personopplysningsloven § 31 tredje ledd anbefaler utvalget videre at det oppstilles et krav om at det skal sendes fornyet melding 3 år etter at forrige melding ble sendt. Hensikten med bestemmelsen er å sikre god kvalitet på opplysningene i meldingen, og det er hensiktsmessig at politiet etter 3 år ser på status på behandlingen, og vurderer om det har skjedd noen endringer.
Utvalget har vurdert meldingens form og innhold. I følge personopplysningsloven § 32 skal meldingen opplyse om «navn og adresse på den behandlingsansvarlige og på dennes eventuelle representant og databehandler, når behandlingen starter, hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter, formålet med behandlingen, oversikt over hvilke typer personopplysninger som skal behandles, hvor personopplysningene hentes fra, det rettslige grunnlaget for innsamlingen av opplysningene, hvem personopplysningene vil bli utlevert til, herunder eventuelle mottakere i andre stater og hvilke sikkerhetstiltak som er knyttet til behandlingen». Dette er i samsvar med kravene i personverndirektivet artikkel 19 nr. 1. Utvalget skiller mellom alminnelig melding, og hovedmelding og tilslutningsmelding. Alminnelig melding er melding etter personopplysningslovens modell, hvor meldingen skal angi hvordan behandlingsansvarlig behandler opplysninger innenfor de rammer forskriftene vil sette. Utvalget vurderer betydningen av forskriftsregulering av politiets og påtalemyndighetens behandling av opplysninger opp mot meldingens innhold og uttaler i den sammenheng i utredningens punkt 19.7.2: «Mens forskriftene oppstiller generelle behandlingsregler, skal meldingen gi en oversikt over hvorledes systemet brukes hos den enkelte behandlingsansvarlige. Der forskriftene gir valgfrihet, skal meldingen konkretisere hvordan behandlingsansvarlig har valgt å gjøre det. Mens forskriftene oppstiller en norm, gir meldingen en beskrivelse av faktum. »
Ut fra at forskriftene oppstiller en generell norm, og meldingen gir en beskrivelse av faktum, finner utvalget at forskriftenes detaljeringsgrad ikke bør ha noe å si for hva meldingen inneholder. Utvalget konkluderer med at meldingen må inneholde de samme opplysninger som etter personopplysningsloven, dersom politiet og allmennheten skal kunne dra nytte av meldingen.
Utvalget finner videre at det må utarbeides et standard meldeskjema med utgangspunkt i Datatilsynets konsesjonssøknadsskjema. Utvalget finner at det vil være naturlig å ta utgangspunkt i konsesjonssøknadsskjemaet og ikke meldepliktskjemaet, ettersom opplysningene hos politiet er sensitive. Skjemaet må imidlertid tilpasses politiet og de særlige forhold som der er til stede. Utvalget finner at skjemaet bør utformes på en slik måte at politiet kan melde behandlingene elektronisk.
For sentrale systemer foreslår utvalget at det må utarbeides særskilte meldingsskjemaer, såkalt hovedmelding og tilslutningsmelding. Hovedmeldingen vil blant annet inneholde en oversikt over systemet, samt avklaring av behandlingsansvar. I tilslutningsmeldingen vil det fremkomme opplysninger om de særlige forholdene ved det lokale organet og dets behandling, herunder hvilke sikkerhetstiltak som finnes, hvilken tilgang og hvilke rettigheter de har til systemet, om det foreligger noen lokale instrukser med videre.
Utvalget anbefaler at det skal være den behandlingsansvarlige som er meldepliktig på samme måte som etter personopplysningsloven. Dette innebærer etter utvalgets forslag at ved sentrale systemer vil både det sentrale og lokale organet være meldepliktig med henholdsvis hovedmelding og tilslutningsmelding.
Utvalget anbefaler videre at Datatilsynet er mottaker for meldinger fra politi og påtalemyndighet, etter samme modell som personopplysningsloven og helseregisterloven. Ved at melding sendes til Datatilsynet styrkes Datatilsynets rolle som tilsynsorgan og dette vil kunne bidra til bedre kommunikasjon mellom Datatilsynet og politiet. Utvalget anbefaler også i forslaget til § 49 at Datatilsynet gis både tilsynsadgang og påleggsmyndighet og ut fra dette finner utvalget at det mest hensiktsmessige vil være at den som har tilsyns- og kontrollkompetanse også mottar meldingen. Ved å sende meldingene til Datatilsynet sikres også at befolkningen kan gjøre seg kjent med informasjon om hvilke behandlinger som foretas i politiet på lik linje med andre meldinger. Å melde til et eksternt kontrollorgan understreker dessuten alvoret i meldeplikten. Utvalget ser at Politidirektoratet vil ha tilnærmet samme behov som Datatilsynet for å ha tilgang til opplysningene, på bakgrunn av at de vil være klageorgan for meldingene. Utvalget mener imidlertid at dette kan løses ved at politiet i instruks kan pålegges å melde til Politidirektoratet. Utvalget nevner også at andre enn Datatilsynet og Politidirektoratet ut fra sin tilsynsrolle kan ha behov for å få tilgang til meldingene i sin helhet, det vil si før opplysninger eventuelt blir unntatt av hensyn til kriminalitetsbekjempelsen. Utvalget anbefaler at disse tilfellene reguleres i forskriften, der Datatilsynet og/eller Politidirektoratet kan pålegges en plikt til å videreformidle mottatte meldinger til for eksempel riksadvokaten og EOS-utvalget.
Utvalget finner at det vil være positivt for den behandlingsansvarlige med en enhetlig løsning for alle meldinger, uavhengig av hvem som har tilsyn. Politiet slipper da å ta stilling til om behandlingens formål er i eller utenfor den enkelte straffesak og om det derfor er riksadvokaten eller Politidirektoratet som skal ha meldingen.
Når meldingen er innkommet til meldeorganene, bør det gis en kvittering for at meldingen er mottatt. Kvitteringen er kun en konstatering av at meldingen er mottatt, og meldeorganet har ikke foretatt en materiell prøvelse av om behandlingen ligger innenfor lovens og forskriftenes rammer. Utvalget finner imidlertid at det for flere meldinger vil ligge innenfor tilsynsorganets oppgaver og kompetanse å foreta en slik materiell prøvelse og pålegge eventuelle endringer i eller stans av behandlingen dersom de mener den ikke har hjemmel. Tilsynsorganet vil videre ha hjemmel til å kreve flere opplysninger, dersom dette er nødvendig for at de skal ivareta sine arbeidsoppgaver. Dersom politiet iverksetter en behandling uten at den er meldt, kan tilsynsorganet stanse behandlingen frem til melding er sendt. Utvalget mener det er hensiktsmessig at politiregisterloven viderefører den alminnelige bestemmelsen i personopplysningsloven § 31 annet ledd om at meldingen må sendes 30 dager før behandlingen starter.
I forhold til spørsmålet om hvem som skal ha tilgang til meldingene er det utvalgets utgangspunkt at meldingen skal gjøre det mulig for enhver å gjøre seg kjent med politiets behandlinger, og en nødvendig konsekvens er at meldingene er offentlig tilgjengelige. Utvalget finner at dette kan gjøres ved at de er tilgjengelige ved henvendelse til Datatilsynet eller Politidirektoratet.
Utvalget mener imidlertid også at det av hensyn til kriminalitetsbekjempelsen eller rikets sikkerhet kan være aktuelt at deler av meldingene er unntatt fra offentligheten. Utgangspunktet er at det kun er de delene av meldingen som kan skade kriminalitetsbekjempelsen eller rikets sikkerhet som kan unntas. Vurderingen av hva som må unntas av hensyn til kriminalitetsbekjempelsen, vil være parallell med vurderingen om å unnta innsyn, men det må tas hensyn til at det er forskjell på en allmenn, offentlig tilgjengeliggjøring og et eventuelt innsyn i egne opplysninger.
16.1.4 Høringsinstansenes syn
Politiets sikkerhetstjeneste hadde merknader til meldepliktens innhold, samt hvilke behandlinger som foreslås underlagt meldeplikt.
Politiets sikkerhetstjeneste (PST) ser at det i personverndirektivet ikke er åpnet for unntak fra meldeplikten av hensyn til rikets sikkerhet, og at PST følgelig ikke er unntatt fra meldeplikt i lovforslaget. PST merker seg likevel at slike meldinger etter utvalgets forslag til § 49 ikke skal være en del av den systematiske og offentlige fortegnelsen som føres av Datatilsynet. PST anfører imidlertid at meldepliktens innhold, slik den er beskrevet i utvalgets rapport, ikke lar seg forene med reglene for behandling av graderte opplysninger etter sikkerhetsloven og de prinsipper som ligger til grunn for samarbeidet mellom PST og andre lands politimyndigheter og sikkerhets- og etterretningstjenester.
PST anfører videre at de på generelt grunnlag finner at det er upraktisk og unødvendig byråkratisk at enhver behandling av opplysninger etter loven skal underkastes meldeplikt. Som eksempel nevnes at ad hoc-registre bør kunne opprettes uten meldeplikt. For slike behandlinger/registreringer finner PST at det bør være tilstrekkelig at behandlingen/registreringen er forankret i lov eller forskrift for tjenesten.
16.1.5 Departementets vurdering
Departementet er enig i at det skal være meldeplikt og ikke konsesjonsplikt for politiets og påtalemyndighetens behandling av opplysninger, og den begrunnelse som utvalget gir for dette. Departementet er også enig i utvalgets utgangspunkt om at alle behandlinger av opplysninger skal meldes. Man finner imidlertid også grunn til å foreta enkelte endringer i utvalgets forslag om meldeplikt, herunder at PST ikke skal ha meldeplikt, jf. nærmere om dette nedenfor.
16.1.5.1 Meldepliktens omfang
Når det gjelder hvilke vurderinger som skal legges til grunn i forhold til hva (som er en behandling) som skal meldes har departementet valgt en noen annen innfallsvinkel enn utvalget. Utvalget tar utgangspunkt i at det er en behandling som skal meldes. Utvalget skiller her mellom en behandling, som refererer seg til konkret samling av opplysninger, gjerne et register eller et system, og å behandle, som er en betegnelse på politiets bruk av opplysningene. Departementet kan ikke slutte seg til utvalgets oppfatning om at det i vurderingen av om det foreligger en behandling hos politiet som utløser meldeplikt, er hensiktsmessig å ta utgangspunkt i registerbegrepet, hvor ethvert register normalt utløser meldeplikt, jf. utredningens pkt 19.6.1.
Personverndirektivet art 18 nr 1 knytter meldeplikten til «en behandling som helt eller delvis utføres elektronisk, eller en rekke slike behandlinger med samme innbyrdes relaterte formål». Departementet finner at det vil være en stor pedagogisk utfordring å bruke begrepene å behandle og en behandling slik utvalget foreslår og ønsker derfor å benytte registerbegrepet i noe større grad enn utvalget har gjort. Det vil imidlertid være viktig også å få frem at meldeplikten må forankres i et tilstrekkelig presist angitt formål. Ved å bruke registerbegrepet, kombinert med at man i noe større grad benytter seg av ordlyden i personverndirektivet, vil dette føre til at meldeplikten både blir mer presis og lettere å praktisere for den behandlingsansvarlige. Dette vil også i større grad tydeliggjøre at det er de mer overordnede politimessige formål som skal meldes, jf også lovforslaget til kapittel 3. Det må imidlertid understrekes at i praksis vil dette ikke innebære særlig forskjell fra utvalgets forslag da de store registrene som Straffesaksregisteret og DNA-registeret har klart angitte formål. Det samme gjelder for andre registre som for eksempel Indicia, der kriminalitetsbekjempelse er det overordnete formål. Her vil man imidlertid også gjerne ha ytterligere detaljerte delformål i forhold til de enkelte typer og kategorier opplysninger som behandles i forhold til hvilken type kriminalitet (narkotika, pornografi, pedofili, osv) som skal bekjempes, noe som reiser særlige spørsmål i forhold til en eventuell meldeplikt hva gjelder disse delformålene.
I den grad det behandles opplysninger utenfor de tradisjonelle registrene skal registermeldingen omfatte også disse behandlingene dersom disse har samme formål som registeret. Hvis behandlingen derimot har et annet formål, må behandlingen meldes særskilt. Det vil her være viktig å merke seg at det i disse tilfellene også kan dreie seg om flere ulike behandlinger eller forskjellig bruk av opplysninger utenfor registrene, men hvor disse behandlingene har samme eller innbyrdes relaterte formål. I disse tilfellene vil det være formålet som avgjør hva som skal meldes, slik at en melding gjerne kan omfatte flere behandlinger. Angivelsen av formålet må være så presist at de ulike behandlingene, herunder tilgang, utlevering med videre kan relateres til dette. Dette vil sette krav til detaljnivået i meldingen slik at man kan få frem forskjeller i de ulike behandlingene og hvilke typer opplysninger som behandles.
Departementet anser det også som et selvstendig poeng at man tilstreber en ensartet terminologi i spesiallovgivningen på personvernfeltet, og viser i denne sammenheng til at helseregisterloven i stor grad benytter begrepet «register», jf for eksempel helseregisterloven §§ 6, 7 og 8. Departementet foreslår etter dette at meldeplikten knyttes til etablering av registre eller annen behandling av opplysninger som innebærer en eller en rekke behandlinger som har samme eller innbyrdes relaterte formål. Siden politiregisterloven er begrenset til behandling av opplysninger til politimessige formål vil meldeplikten regelmessig relatere seg til de ulike politimessige formål slik de er definert i lovforslaget til § 2 nr. 13.
Når det gjelder meldeplikten for sentrale systemer legger departementet utvalgets vurderinger til grunn, og er enig i at det for disse systemene bør være meldeplikt både for systemet som sådan (hovedmelding) og for alle som er tilsluttet (tilslutningsmelding). I tråd med departementets vurderinger over foreslår departementet imidlertid at begrepet «registre» benyttes i stedet for «systemer». Ved slike registre vil det altså være en rekke behandlingsansvarlige som har plikt til å melde sine registre. Departementet er også enig i at det for denne type meldinger utarbeides særskilte meldingsskjemaer, og viser til utvalgets vurdering av dette, jf utredningen punkt 19.6.2.
Utvalget foreslår at behandling som skjer i tilknytning til en enkelt straffesak er unntatt meldeplikt, jf utvalgets forslag til § 49 første ledd siste punktum. Departementet er enig i forslaget og tiltrer utvalgets begrunnelse. Departementet har likevel endret systematikken i reguleringen på bakgrunn av at behandling av opplysninger i straffesaker nå vil falle inn under lovens virkeområde, se nærmere om dette kapittel 8. Utvalgets forslag unntar slik behandling fra lovens virkeområde i utvalgets forslag § 3 nr 1, men likevel slik at meldeplikten ble opprettholdt, jf utvalgets forslag til § 3, nr 1 bokstav b. Når utvalget på tross av dette foreslår å unnta slik behandling fra meldeplikt i utvalgets forslag til § 49, kan dette fremstå som selvmotsigende. Utvalgets intensjon må antas å ha vært at de registre som inneholder straffesaksdokumenter omfattes av meldeplikten, mens behandlingen av opplysninger i forbindelse med en konkret etterforskning ikke omfattes. Siden behandling av opplysninger i straffesaker nå er omfattet av lovens virkeområde og for å unngå eventuelle misforståelser, foreslår departementet at straffesaksbehandling i utgangspunktet omfattes av meldeplikten, men at det gjøres særskilte unntak i forhold til den behandlingen som ikke er gjenstand for meldeplikten, jf. lovforslaget til § 57 om meldeplikt.
Utvalget har når det gjelder politiets adgang til å oppbevare opplysninger i inntil fire måneder uten at de alminnelige kvalitetskrav er oppfylt, forutsatt at det kan være opp til den behandlingsansvarlige å vurdere hvorvidt dette er å anse som en egen behandling som må meldes, eller om dette skal ses som et unntak fra kvalitetskravene for andre behandlinger og meldes sammen med disse. Departementet tiltrer ikke utvalgets vurdering om valgfrihet på dette punkt. Adgangen til å oppbevare opplysninger i inntil fire måneder utenfor straffesak for å avklare om de lovpålagte vilkårene for behandling er oppfylt, vil følge direkte av loven. Tidsfristen vil være absolutt og det foreslås også en tilnærmet absolutt taushetsplikt for opplysningene. Når opplysningene er av en slik karakter som det her er tale om er det viktig med en streng regulering og ensartet praksis. Utvalget har forutsatt at opplysninger som faller inn under 4-månedersregelen skal lagres i en egen «pool». Forutseningen er således at disse opplysningene holdes atskilt fra andre opplysninger. I så fall vil denne ansamlingen kunne betegnes som et register, og meldeplikten vil da relatere seg til dette registeret. Departementet foreslår at den nærmere reguleringen av hvordan bestemmelsen skal gjennomføres, herunder meldeplikten, gis i forskrift.
Når det gjelder plikten til å sende ny melding på bakgrunn av endringer eller for oppdatering, er departementet enig med utvalget i at det må sendes henholdsvis endringsmelding og fornyet melding. Plikten til å sende ny melding inntrer både dersom det er en endring i den opprinnelige meldingen og dersom endringen i behandlingen er så stor at det må anses som en helt ny behandling. Dette er også i tråd med dagens praksis og hensikten med meldingene tilsier at det er viktig at disse er oppdaterte til enhver tid.
16.1.5.2 Meldingens form og innhold
Departementet tiltrer utvalgets vurdering om at det må utarbeides et standard meldeskjema med utgangspunkt i Datatilsynets konsesjonssøknadsskjema, noe som er begrunnet i opplysningenes sensitive karakter. Meldeskjemaet må tilpasses politiet og deres særskilte behov. Departementet er videre enig i modellen med alminnelig melding som angir hvordan den behandlingsansvarlige behandler opplysningene innenfor forskriftens rammer, og de særlige typer melding - hovedmelding og tilslutningsmelding - som benyttes i forhold til sentrale registre, jf. nærmere om dette ovenfor.
Når det gjelder hvilke opplysninger meldeskjemaet skal inneholde, er departementet enig i utvalgets utgangspunkt om at meldeskjemaet skal inneholde de samme opplysninger som etter personopplysningsloven. Politiets Sikkerhetstjeneste (PST) anfører i den forbindelse at meldepliktens innhold, slik den er beskrevet i utvalgets rapport, ikke lar seg forene med reglene for behandling av graderte opplysninger etter sikkerhetsloven og de prinsipper som ligger til grunn for samarbeidet mellom PST og andre lands politimyndigheter og sikkerhets- og etterretningstjenester. Departementet viser til at dette ikke lenger er noe problem, idet departementet ikke vidererfører utvalgets forslag om at PST skal sende melding til Datatilsynet. For det første er det uansett ikke noen grunn til at PST skulle sende melding til Datatilsynet når det er EOS-utvalget som fører tilsyn med PST. Som det fremgår av kapittel 17, finner departementet det heller ikke nødvendig at PST sender melding til EOS-utvalget, idet utvalget gjennom sin virksomhet er kjent med den behandlingen som foretas i PST.
Utover dette slutter departementet seg til utvalgets vurderinger om at det er den behandlingsansvarlige som er pålagt meldeplikt, at Datatilsynet er mottaker av meldinger fra politiet, samt utvalgets forslag med hensyn til kvittering og tilgang til meldingene.
16.2 Tilsynsordning
16.2.1 Innledning
I dette punkt behandles spørsmålene knyttet til tilsynsordning, herunder hvem som skal være tilsynsorgan for politiets og påtalemyndighetens behandling av opplysninger og hvilken påleggskompetanse tilsynsorganet skal ha. Det vil her være nødvendig å sondre mellom PSTs og det øvrige politiets behandling av opplysninger.
Siden tilsynsordningen, og ikke minst tilsynsorganets påleggskompetanse, reiser enkelte særskilte spørsmål gis det i tillegg en oversikt over de internasjonale rammer for lovgivningen, jf. punkt 16.2.2, samt en oversikt over hvordan spørsmålet er regulert i annen registerlovgivning, jf. punkt 16.2.3.
16.2.2 Internasjonale rammer for lovgivningen
I personverndirektivet reguleres tilsynsoppgavene i artikkel 28, hvor det står: «Hver medlemsstat skal fastsette at én eller flere offentlige myndigheter skal ha til oppgave å overvåke anvendelsen på dens territorium av de bestemmelser som medlemsstatene vedtar i henhold til dette direktiv. Disse myndighetene skal i full uavhengighet utføre de oppgaver de er pålagt». Kontrollmyndighetens uavhengighet understrekes i direktivets fortale punkt 62: «Opprettelsen av tilsynsmyndigheter i medlemsstatene som utøver sine funksjoner i full uavhengighet, er av avgjørende betydning for personvernet i forbindelse med behandlingen av personopplysninger. Disse myndigheter må ha de nødvendige virkemidler for å utføre sine oppgaver, herunder myndighet til å foreta undersøkelser og til å gripe inn, særlig i forbindelse med klager, samt myndighet til å opptre som part i rettssaker. Myndighetene skal også bidra til å sikre innsyn i behandlinger av opplysninger i den medlemsstat den er underlagt».
Av politirekommandasjonen punkt 1.1 følger det at alle stater skal ha en uavhengig kontrollmyndighet utenfor politisektoren, som skal være ansvarlig for å sikre at de prinsippene som er nedfelt i rekommandasjonen blir overholdt. Rekommandasjonen anbefaler at en slik kontrollmyndighet tillegges de alminnelige personvernmyndighetene, fordi de vil spille en sentral rolle i å sette rammer for behandlingen av personopplysninger. Dersom kontrollen legges utenfor de alminnelige personvernmyndighetene, må organet ikke være underlagt politiets instruksjonsmyndighet. Det er ikke nødvendig at kontrollorganet er et kollegialt organ, men det må ha tilstrekkelige ressurser til å ha en reell mulighet til å kontrollere virksomheten.
I rammebeslutning om personvern i tredje søyle inneholder artikkel 25 bestemmelser om nasjonale tilsynsmyndigheter, der det heter:
«1. Hver medlemsstat skal sørge for at én eller flere offentlige myndigheter har til oppgave å veilede og overvåke anvendelsen, innenfor dens territorium, av de bestemmelser medlemsstaten vedtar for å gjennomføre denne rammebeslutning. Disse myndighetene skal utøve de funksjoner de er tillagt i full uavhengighet.
2. Hver tilsynsmyndighet skal særlig ha:
myndighet til å foreta undersøkelser, f.eks. få tilgang til opplysninger som er gjenstand for behandling og innhente alle opplysninger som er nødvendige for å ivareta sine tilsynsoppgaver,
faktisk myndighet til å gripe inn ved f.eks. å kunne avgi uttalelser før behandling finner sted og sikre en hensiktsmessig offentliggjøring av slike uttalelser, beordre sperring, sletting eller tilintetgjøring av opplysninger, forby en behandling midlertidig eller definitivt, gi den behandlingsansvarlige en advarsel eller irettesettelse, eller forelegge saken for nasjonale parlamenter eller andre politiske institusjoner,
myndighet til å innlede rettslige skritt ved overtredelse av nasjonale bestemmelser vedtatt i henhold til denne rammebeslutning eller gjøre rettslige myndigheter oppmerksom på slike overtredelser. Beslutninger truffet av tilsynsmyndigheten som er gjenstand for klage, kan bringes inn for en domstol.
3. Enhver person kan fremsette en begjæring til en tilsynsmyndighet om beskyttelse av sine rettigheter og friheter i forbindelse med behandling av personopplysninger. Den registrerte skal underrettes om utfallet av begjæringen.
4. Medlemsstatene skal fastsette bestemmelser om at tilsynsmyndighetenes medlemmer og ansatte er bundet av datavernsbestemmelsene som gjelder for den berørte kompetente myndighet, og at de er underlagt taushetsplikt, også etter sin fratredelse, med hensyn til fortrolige opplysninger de har tilgang til.»
Under forhandlingene i Brüssel var særlig spørsmålet vedrørende tilsynsorganets påleggskompetanse et sentralt tema. Bakgrunnen for dette var at en rekke land i henhold til sin nasjonale lovgivning ikke hadde ordninger som gir det uavhengige tilsynsorganet påleggskompetanse, det vil si at tilsynsorganet kan pålegge retting, sletting eller noen annen form for behandling av opplysninger. Disse landene var derfor ikke innforstått med at artikkel 25 på dette punkt får en utforming som binder landene til å innføre en slik påleggskompetanse. Som resultat av dette ble tilsynsorganets virkemidler i artikkelens nr. 2 bokstav b opplistet som alternative eksempler på hva som kan være slike «effektive» virkemidler, og det var enighet om at ett av de der nevnte virkemidlene er tilstrekkelig for å oppfylle kravet i bestemmelsens nr. 2 bokstav b.
16.2.3 Gjeldende rett
Det alminnelige kontroll- og tilsynsorganet for behandling av personopplysninger er Datatilsynet. Videre har politiet overordnede organer som utfører alminnelig tilsyn, som Politidirektoratet. Dernest finnes mer generelle former for kontrollordninger. Som nevnt innledningsvis har den enkelte rett til domstolskontroll, dersom han har innsyn, men uten innsyn blir det praktisk vanskelig. Den enkelte har rett til å klage til Sivilombudsmannen. Sivilombudsmannen har behandlet en del saker om politiets registre, særlig om utlevering av opplysninger ved opptak til Politihøgskolen.
Nedenfor vil det bli gitt en kort oversikt over politiets generelle kontrollordninger, samt tilsyn etter personopplysningsloven, SIS-loven og helseregisterloven.
16.2.3.1 Politiets oppbygning og kontrollordninger
Politidirektoratet har ansvaret for ledelse og oppfølging av politidistriktene og politiets særorganer, hvor hovedoppgavene vil være strategisk og operativ samordning, etatsledelse, personal- og organisasjonsutvikling, støtte- og tilsynsoppgaver, forvaltningsoppgaver, beredskap, samt behandling av klagesaker. Politidirektoratet er underlagt Justisdepartementet, og handler under justisministerens konstitusjonelle ansvar. Politidirektoratet har alminnelig instruksjonsmyndighet innenfor sitt område. Riksadvokaten har det øverste ansvaret for straffesaksbehandlingen, og er i denne relasjon bare underlagt regjeringen. Overordnet påtalemyndighet har alminnelig instruksjonsmyndighet innenfor sitt område.
PST er underlagt Justisdepartementet. Det er imidlertid opprettet et eget tilsynsorgan ved lov, EOS-utvalget, som skal kontrollere PSTs virksomhet, jf. lov om kontroll med de hemmelige tjenestene 3. februar 1995 nr. 7. Dette er nærmere beskrevet i kapittel 17. Formålet med kontrollen fremgår av § 2, hvor det er sentralt «å klarlegge om og forebygge at det øves urett mot noen, herunder påse at det ikke nyttes mer inngripende midler enn det som er nødvendig etter forholdene». Formålet er imid
16.2.3.2 Personopplysningsloven
Datatilsynet er et uavhengig forvaltningsorgan som administrativt er underlagt Fornyings- og administrasjonsdepartementet. Datatilsynets oppgaver fremgår av personopplysningsloven § 42 annet ledd. Datatilsynet skal kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at alle feil eller mangler blir rettet, jf. personopplysningsloven § 42 annet ledd nr. 3. Videre skal Datatilsynet behandle og føre en oversikt over alle meldinger og konsesjoner, jf. nr. 1 og nr. 2. Utover den kontrollerende rollen har de også en veiledende rolle, samt noen andre oppgaver, se personopplysningsloven § 42.
I situasjoner hvor den registrerte har rettigheter som innsyn, retting og sletting i kraft av personopplysningsloven, vil den registrerte kunne bringe saken inn for Datatilsynet. Datatilsynet er ikke et klageorgan, men utøver som tilsynsorgan et visst skjønn i forhold til hvilke saker som skal behandles og hvordan det skal gås frem. Datatilsynet er ikke tilsynsorgan for opplysninger som behandles i sikkerhetsøyemed.
Etter personopplysningsloven § 46 kan Datatilsynet gi pålegg om at ulovlige behandlinger skal opphøre eller stille vilkår for at behandlingene skal være i samsvar med loven. I forarbeidene uttales at en slik utvidet påleggsadgang er sentral når man går over til å fokusere sterkere på etterfølgende kontroll, se Ot.prp nr. 92 (1998-99) s. 96 andre spalte. Påleggskompetansen gjelder alle sider ved behandlingen, som for eksempel innsyn, varsling og krav til sikring. Påleggskompetansen understøttes av adgangen til å ilegge tvangsmulkt, som skal bidra til gjennomføring av de vedtak som er truffet, jf. personopplysningsloven § 47.
Datatilsynet er i loven sikret tilgang til opplysninger, lokaler, hjelpemidler med videre for å kunne utføre sine oppgaver, jf. personopplysningsloven § 44, og underlagt taushetsplikt i henhold til forvaltningsloven, jf. personopplysningsloven § 45.
Personvernnemnda har som hovedoppgave å avgjøre klager over Datatilsynets avgjørelser, jf. personopplysningsloven § 43 første ledd. De har samme tilgang til opplysninger som Datatilsynet, og er underlagt samme taushetsplikt.
16.2.3.3 SIS-loven
SIS-loven har et tosporet system, som er nedfelt i SIS-loven § 19. Den fastslår at den registrerte kan påklage avgjørelser om innsyn, retting og sletting til Politidirektoratet. Videre kan den registrerte rette sin henvendelse til Datatilsynet. Det opprinnelige forslaget i høringsutkastet var at klageordningen internt i politiet måtte være uttømt før det var mulig å henvende seg til Datatilsynet, men departementet gikk vekk fra dette. Med andre ord står den registrerte fritt til å velge om han vil rapportere til Datatilsynet eller klage til overordnet organ i politiet.
Datatilsynet er det alminnelige, uavhengige kontrollorganet, og det fremgår av § 21 første ledd at tilsynet skal kontrollere at loven og forskrifter gitt i medhold av den overholdes, og at feil og mangler blir rettet. Det er eksplisitt fastsatt i SIS-loven § 21 at Datatilsynet etter begjæring fra den registrerte skal kontrollere om vedkommendes opplysninger er riktige, samt at registrering og bruk samsvarer med SIS-loven. Regelen finnes i Schengen-konvensjonen, og lovgiver valgte å lovfeste den for å styrke den registrertes rettigheter. Regelen er praktisk der den registrerte ikke har innsyn.
Datatilsynet har fått påleggskompetanse, slik at tilsynet kan pålegge den registeransvarlige at behandling av opplysninger i strid med SIS-loven skal opphøre, eller stille vilkår som må oppfylles for at behandlingen skal være i samsvar med loven, jf. SIS-loven § 23 første ledd. Likevel kan Datatilsynet ikke pålegge innsyn, dersom slikt innsyn kan skade det tiltaket opplysningen er registrert for eller tredjemann. Begrensningen er begrunnet i at vurderingen av om det skal gis innsyn eller ikke beror på en politifaglig vurdering, og at det kan få alvorlige følger for politiets kriminalitetsbekjempelse og/eller tredjemann dersom «feil» person gis innsyn. Dette er en vesentlig innskrenkning i forhold til Datatilsynets myndighet i kraft av personopplysningsloven. Datatilsynet kan imidlertid ta opp forholdet med den behandlingsansvarlige, og gjøre oppmerksom på sitt syn.
Datatilsynet kan som ledd i sin kontroll kreve tilgang til opplysninger, steder og hjelpemidler, jf. SIS-loven § 22.
Utover dette skal klager om innsyn, retting og sletting forelegges Datatilsynet før klageinstansen avgjør klagen, jf. SIS-loven § 19 annet ledd.
16.2.3.4 Helseregisterloven
Innenfor helsesektoren er Statens helsetilsyn og fylkeslegen kontrollorganer, som i henhold til lov om statlig tilsyn med helsetjenester 30. mars 1984 nr. 15 har kontrolloppgaver, herunder «medvirke til at lover, forskrifter og retningslinjer for helsetjenesten blir kjent og overholdt», jf. § 2 tredje ledd. I helseregisterloven 18. mai 2001 nr. 24 er derfor kontrolloppgavene innen helsesektoren delt mellom Statens helsetilsyn, fylkeslegen og Datatilsynet, avhengig av den kompetanse de besitter: «Datatilsynet fører tilsyn med at bestemmelsene i loven blir fulgt og at feil og mangler blir rettet, jf. personopplysningsloven § 42, med mindre tilsynsoppgaven påligger Statens helsetilsyn eller fylkeslegen (...)», jf. helseregisterloven § 31. Adgangen til å gi pålegg er regulert etter samme prinsipp: «Datatilsynet kan gi pålegg om at behandlingen av helseopplysninger i strid med bestemmelser i eller i medhold av denne loven skal opphøre, eller stille vilkår som må oppfylles for at behandlingen skal være i samsvar med loven. Dersom det i tillegg må antas at behandlingen av helseopplysninger kan ha skadelige følger for pasienter, kan Statens helsetilsyn gi pålegg som nevnt. Når Datatilsynet har gitt et pålegg, skal Statens helsetilsyn informeres om dette. Når Statens helsetilsyn har gitt et pålegg, skal Datatilsynet informeres om dette», jf. helseregisterloven § 32.
Det fremgår av forarbeidene at Datatilsynet og Statens helsetilsyn/fylkeslegen ofte vil ha ulikt fokus på tilsynet, og at utgangspunktet for Datatilsynets kontroll- og tilsynsansvar er det personvernfaglige, mens Statens helsetilsyn skal føre tilsyn med loven i forhold til helsefaglige spørsmål, se Ot.prp nr. 5 (1999-2000) s. 155. Det fremgår videre at: «Helsetilsynets viktigste oppgave er å føre tilsyn med at pasienter mottar nødvendig og faglig forsvarlig helsehjelp og at helselovgivningen for øvrig, herunder taushetsplikten, overholdes (...) Dersom elektroniske pasientjournaler etableres og føres på en måte som kan ha skadelige følger for pasientene, må Statens Helsetilsyn kunne gi pålegg om å rette på forholdet ». Dette er sammenlignbart med bestemmelsene i SIS-loven, hvor Datatilsynet ikke kan pålegge innsynsrett, fordi dette er basert på en politifaglig vurdering.
16.2.4 Utvalgets forslag
Utvalget skiller i tilsyns- og påleggsspørsmålet mellom behandling av opplysninger i og utenfor straffesak.
16.2.4.1 Tilsyn og pålegg i den enkelte straffesak
Utvalget finner at behandling av opplysninger i straffesaksbehandlingen har tilfredsstillende og effektive garantier mot misbruk, og foreslår ingen endringer i dette. I straffesaker følger flere regler for behandling av personopplysninger av straffeprosessloven. I de saker hvor det blir tatt ut tiltale, vil domstolen være kontrollinstans. Videre er det utenrettslig kontroll med politiet og påtalemyndighetens behandling av personopplysninger. Riksadvokaten har i kraft av sin alminnelige tilsynskompetanse også tilsyn med behandling av personopplysninger i den enkelte straffesak, herunder taushetspliktsreglene. Riksadvokaten kan også gi pålegg overfor politiet og underordnet i påtalemyndigheten.
Utvalget presiserer likevel at straffesakssystemene som sådanne vil falle innenfor politiregisterloven slik denne er foreslått, og således underlegges tilsyn slik som beskrevet i utvalgets rapport punkt 21.5, og gjengitt nedenfor i pkt 16.2.4.2.
16.2.4.2 Tilsyn og pålegg utenfor den enkelte straffesak
Tilsyns- og påleggskompetansen kan enten omfatte hele loven eller kun deler av den. Både personopplysningsloven og SIS-loven er utformet slik at tilsynet i utgangspunktet gjelder hele loven, slik at Datatilsynet skal kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet.
Tilsynsmyndighet og påleggskompetanse er svært viktige instrumenter for å ha effektive og adekvate garantier mot misbruk. Et sentralt poeng i denne sammenheng er at kriminaletterretningsregistre, samt enkelte andre opplysninger kan være unndratt innsynsrett. Siden det kan variere når den registrerte har innsynsrett, anbefaler utvalget at det legges opp til felles kontrollordning for all behandling, som tar hensyn til at innsyn kan være unntatt. For mer om begrunnelsen vises til punkt 21.2.2 i utredningen.
Utvalget foreslår at Datatilsynet gis full tilsynskompetanse i forhold til politiregisterloven, også i forhold til taushetspliktsreglene og vandelskontroll, dog med unntak av opplysninger som behandles av PST. Tilsynet bør etter utvalgets oppfatning omfatte kontroll av at loven og forskrifter gitt i medhold av den blir fulgt, og at feil eller mangler blir rettet. Med andre ord skal tilsynet både kontrollere at loven blir etterlevd og at eventuelle endringer blir gjort.
Bakgrunnen for utvalgets forslag er at Datatilsynet i kraft av personopplysningsloven er alminnelig tilsynsorgan for forvaltningens behandling av personopplysninger, med mindre noe annet fremgår av særlov. Helseregisterloven fastslår at dette også gjelder for helseforvaltningen og helsetjenesten. Videre har Datatilsynet tilsyn med politiets behandling av personopplysninger etter SIS-loven.
Politiregisterloven foreslås å omfatte både taushetsplikt og vandelskontroll, og dette har ikke noe motstykke i personopplysningsloven. Som utgangspunkt finner utvalget at Datatilsynet ikke bør tillegges oppgaver som faller utenfor deres kjernekompetanse. Innenfor helsesektoren har dette ført til en delt tilsynskompetanse og delt klageordning i helseregisterloven, hvor Datatilsynet har hånd om personvernet, mens helsemyndighetene (Helsetilsynet og fylkeslegene), ser på helsefaglige spørsmål. Helsetilsynet og fylkeslegen er selvstendige organer, som ikke er underlagt departementet, jf. lov om statlig tilsyn med helsetjenester. Innenfor politisektoren er det kun PST som har et uavhengig kontrollorgan gjennom EOS-utvalget. Politidirektoratet er underlagt Justisdepartementet, og det er derfor en vesensforskjell på Politidirektoratet og Helsetilsynet når det gjelder tilsynsoppgaven. Utvalget finner således at det ikke er samme grunnlag i politiet for å dele kompetansen på den måten som det er gjort i helseregisterloven.
Datatilsynet har spesialkompetansen på personvernfaglige vurderinger, mens politiet har kompetanse på den politifaglige vurderingen. En typisk politifaglig vurdering vil i følge utvalget være om innsyn skal nektes av hensyn til kriminalitetsbekjempelsen, eller om færre opplysninger skal anmerkes på politiattesten. Det er imidlertid ikke alltid enkelt å trekke skillet mellom hva som er en politifaglig vurdering og hva som er en personvernmessig vurdering. I spørsmål om retting og sletting bør begge hensyn vurderes, men utvalget finner at det i denne sammenheng må anses som en «personvernmessig vurdering» i den forstand at det er sentrale rettigheter i personopplysningsloven. Ved utlevering av opplysninger reguleres dette av taushetspliktsreglene, men vurderingen av om det kan gjøres unntak fra taushetsplikten tar opp i seg de hensynene som tas i betraktning ved spørsmål om personopplysningsloven tillater utlevering.
Datatilsynet har en kontrollerende rolle i forhold til politiet gjennom SIS-loven. SIS-loven er basert på at noen spørsmål krever en politifaglig vurdering. Datatilsynet har full tilsynskompetanse, har uttalerett i klagesaker og en begrenset rett til å gi pålegg, hvor blant annet adgangen til å pålegge innsyn er unntatt. Utvalget finner etter dette at det ikke foreligger grunner som tilsier at andre enn Datatilsynet bør ha full tilsynskompetanse etter politiregisterloven. Utvalget har i vurderingen av hvem som skal være tilsynsmyndighet lagt vesentlig vekt på praksis fra EMD og kravene til tilfredsstillende og effektive garantier mot misbruk og effektiv prøvingsrett. Det vises i utvalgets rapport særskilt til at Høyesterett i Rt. 2001 s. 402 kom til at vilkårene i EMK artikkel 8 og artikkel 13 var oppfylt for DNA-registerets del, i og med at det var et personregister underlagt kontroll av Datatilsynet etter dagjeldende personregisterlov. At Datatilsynet har tilsynskompetanse i forhold til hele loven kan være et moment i denne sammenheng.
Utvalget finner at tilsynsordningene ikke bør være avhengig av om den registrerte har innsyn eller ikke. Innsyn er ifølge utvalgets forslag unntatt i kriminaletterretningsregistre og utvalget foreslår at innsyn for øvrig unntas etter en konkret vurdering, se utvalgets forslag til § 44 andre ledd tredje punktum. For at vilkårene til tilfredsstillende og effektive garantier mot misbruk og effektiv prøvingsrett skal være oppfylt, tilsier dette et uavhengig kontrollorgan. Et uavhengig kontrollorgan anbefales også i politirekommandasjonen og personverndirektivet. Det anses å ha en egenverdi at reglene som gjelder for politiet er like, slik at de er lettere å praktisere, både for politiet og publikum, og utvalget finner at dette støtter anbefalingen om at Datatilsynet bør ha full tilsynskompetanse.
Utvalget anbefaler at det inntas en bestemmelse i loven hvor det nedfelles en rett for Datatilsynet, i tilfeller hvor den registrerte ikke har innsyn, til å gå inn i opplysninger om en person og kontrollere at opplysningene om vedkommende er riktige, og om opplysningene er registrert og brukt i samsvar med loven. Så lenge bestemmelsen ikke pålegger en plikt for tilsynsorganet til å kontrollere opplysningene, gir bestemmelsen materielt sett neppe noe mer enn den alminnelige tilsynskompetansen, men utvalget finner at å gjøre allmennheten oppmerksom på en slik rett vil bidra til å sikre effektive og adekvate garantier mot misbruk. Videre blir løsningen lik den som også gjelder etter SIS-loven.
16.2.4.3 Påleggskompetanse
Utvalget har drøftet om tilsynskompetansen skal kombineres med en påleggskompetanse, slik det er gjort i både SIS-loven, helseregisterloven og personopplysningsloven. Utvalget anbefaler at Datatilsynet, som tilsynsorgan, gis påleggskompetanse. I følge utvalget er det usikkert hvorvidt praksis fra EMD oppstiller et krav om at tilsynsorganet trenger påleggskompetanse, eller om et tilsynsorgan alene er tilstrekkelig for å oppfylle kravet om effektive og adekvate garantier mot misbruk. Imidlertid kan en etablert praksis hvor det kontrollerte organ følger tilsynsorganets anbefalinger anses å oppfylle vilkårene, slik PST følger EOS-utvalgets anbefalinger. Ved opprettelsen av en ny ordning, mener imidlertid utvalget at det er nødvendig at tilsynsorganet får påleggskompetanse, og at ordningen ikke kan baseres på frivillig etterlevelse. Det ses også hen til at reglene bør være lik dem som gjelder for behandling av opplysninger etter Schengen-konvensjonen.
Utvalgets anbefaling er at Datatilsynet gis tilsynskompetanse i forhold til hele politiregisterloven, også taushetsplikt og vandelskontroll. Utvalget har så vurdert hvor langt påleggskompetansen skal gå i forhold til tilsynskompetansen. Utvalget anbefaler at Datatilsynet i utgangspunktet ikke skal ha noen påleggskompetanse i forhold til spørsmål om taushetsplikt. Det har Datatilsynet heller ikke etter personopplysningsloven. Utvalget finner at Datatilsynet heller ikke skal ha påleggskompetanse i forhold til utlevering av opplysninger til et annet formål, såkalt sekundærbruk, jf utvalgets forslag til §§ 22 og 23 om utlevering av opplysninger i mottakerorganets interesse, se for øvrig punkt 14.8. i utredningen.
Vandelskontrollen vil stå i samme stilling som taushetsplikten. I henhold til utvalgets forslag til § 34 vil politiet ha kompetanse til å notere flere eller færre opplysninger på politiattesten. I disse tilfellene finner utvalget at det på bakgrunn av vurderingens art ikke er naturlig at Datatilsynet har påleggskompetanse.
Etter SIS-loven har Datatilsynet ikke rett til å pålegge innsyn. Regelen er begrunnet i at vurderingen av om det skal gis innsyn eller ikke beror på en politifaglig vurdering, da innsyn unntas på grunn av tiltaket – som tilsvarer begrepet kriminalitetsbekjempelse i politiregisterloven – eller tredjeperson. Utvalget mener at de samme hensyn gjør seg gjeldende for politiets behandling av opplysninger utenfor SIS-loven. Etter EMK-praksis er det klart at det ikke er et brudd på artikkel 8 at den registrerte ikke har innsyn i egne personopplysninger, og det kan således neppe være konvensjonsstridig at Datatilsynet ikke får kompetanse til å pålegge dette. Utvalget anbefaler derfor at denne begrensningen også gjøres i politiregisterloven. Se nærmere i utredningen pkt 21.5.3.2 vedrørende fremgangsmåten der det er uenighet mellom Datatilsynet og politiet i innsynspørsmålet.
16.2.4.4 Tilgang til opplysningene og krav til tilsynspersonale
Utvalget anbefaler at tilsynsorganet får tilgang til opplysningene i den utstrekning det er nødvendig for at de skal kunne utføre sitt arbeid. Utvalget finner at en slik tilgang er nødvendig dersom tilsynsorganer og klageorganer skal kunne utføre sine arbeidsoppgaver på en forsvarlig måte, og at retten til slik tilgang er nedfelt i personvernlovgivningen.
Utvalget innser at dette kan være problematisk, i og med at det kan resultere i at tilsynsorganet får større tilgang til opplysningene enn andre polititjenestemenn, men finner at dette er en absolutt forutsetning for tilsyns- og påleggskompetanse. Tilsynsorganet, og de som gjennomfører tilsynet, må imidlertid gjøres kjent med den taushetsplikt de er underlagt. Det er naturlig at de underlegges samme taushetsplikt som andre som har tilgang til opplysningene, det vil si taushetsplikten i politiregisterloven. Utvalget anbefaler også at det må være adgang til å kreve uttømmende politiattest fra dem som skal gjennomføre kontrollen og gjennom dette også begrense det antallet mennesker som får utlevert opplysninger, og eventuelt sikkerhetsklarering dersom dette er nødvendig. Utvalget finner også at dersom tilsynssituasjonen eller andre forhold tilsier at Datatilsynet trenger ytterligere opplysninger, bør tilsynsorganet ha mulighet til å kreve dette. Tilsynet vil ikke bli reelt dersom det begrenses til det materialet som fremskaffes av den som blir kontrollert.
I forhold til PST anbefaler utvalget at kontrollen opprettholdes uendret som i dag, det vil si at ordningen med at PST underlegges EOS-utvalgets kontroll videreføres, se nærmere punkt 23.12 i utvalgets rapport om PSTs kontrollorganer.
16.2.5 Høringsinstansenes syn
Datatilsynet, Politidirektoratet og Advokatforeningen hadde generelle merknader til utvalgets forslag.
16.2.5.1 Generelle merknader
Datatilsynet finner at Datatilsynets begrensede myndighet i medhold av utvalgets forslag til §§ 50 og 53 sammenholdt med den vide hjemmel Datatilsynet gis i § 52 til å utføre sin kontrolloppgave, kan medføre vanskeligheter for Datatilsynet. For det første er tilsynet ikke gitt vedtakskompetanse i klagesaker som gjelder innsyn, retting, sperring og sletting. Tilsvarende kan Datatilsynet ikke gi pålegg om innsyn i opplysninger som er unntatt fra innsynsrett. Samtidig skal Datatilsynet etter utvalgets forslag til § 52 siste ledd kunne kontrollere at opplysninger fra en fysisk eller juridisk person behandles i samsvar med lovverket. Dette selv om vedkommende ikke er blitt innvilget innsyn. Datatilsynet vil da kunne komme i den vanskelige situasjon overfor enkeltpersoner og andre, at Datatilsynet vet hva som er registrert om vedkommende, uten at dette kan videreformidles, men må nøye seg med å avgi en erklæring om at behandlingen er tilfredsstillende. Dette er ingen ønsket situasjon for et tilsyn som har enkeltmennesket og dets personlige integritet, herunder retten til kontroll med egne personopplysninger, som overordnet prinsipp for sitt arbeid.
Datatilsynet er videre av den oppfatning at tilsynet bør ha vedtakskompetanse også i klagesaker som gjelder brudd på taushetsplikten utenfor den enkelte straffesak i den grad brudd på taushetsplikten er skjedd gjennom tolking av den foreslåtte unntaksbestemmelsen i utvalgets forslag til kapittel 4. Disse bestemmelsene bærer sterkt preg av å være utleveringshjemler. Utlevering er å anse som en behandling av personopplysninger og det ligger således nært at Datatilsynet bør ha en videre kompetanse enn en rett til uttalelse i disse tilfellene. Tolkingen av disse bestemmelsene vil være av stor betydning for enkeltmenneskets personvern, og Datatilsynet med sin kompetanse på dette feltet, bør derfor ha avgjørende myndighet.
Hva gjelder klager på avgjørelser om innsyn, retting, sperring og sletting, finner Datatilsynet at de samme argumentene for en stor del vil gjøre seg gjeldende. Dersom en fysisk eller juridisk person er blitt nektet en av disse grunnleggende rettighetene, fremstår det som lite tilfredsstillende for Datatilsynet at Datatilsynet som skal kontrollere at disse rettighetene oppfylles, ikke samtidig kan behandle en klagesak på området. Det samme gjelder kompetanse til å gi pålegg knyttet til de ovennevnte områder og utvalgets forslag til kapittel 5 om vandelskontroll. Datatilsynet mener at gjennomføring av kontrolloppgaven vil bli vanskelig å håndtere på en tilfredsstillende måte når man ikke kan følge opp eventuelle avdekkede avvik med et pålegg. Tilsynshjemmelen blir, sett i denne sammenheng, ufullstendig og lite slagkraftig.
Politidirektoratet er i hovedsak enig i utvalgets vurderinger når det gjelder Datatilsynet som tilsynsorgan med påleggskompetanse, men mener det må foretas enkelte modifiseringer.
Politidirektoratet er enig med utvalget i at Datatilsynet ikke skal ha påleggskompetanse i forhold til spørsmål om taushetsplikt. Det har Datatilsynet heller ikke etter personopplysningsloven. Politidirektoratet er videre enig i at det på grunn av vurderingens art ikke er naturlig at Datatilsynet skal ha påleggskompetanse i forbindelse med vandelskontroll eller innsyn.
Når det gjelder de krav som skal stilles til tilsynspersonale, vil Politidirektoratet understreke viktigheten av at det gis adgang til å kreve uttømmende politiattest. Dette vil også bidra til å begrense det antallet mennesker som får utlevert opplysninger. Dersom det er snakk om graderte opplysninger, vil det videre være aktuelt å kreve sikkerhetsklarering etter sikkerhetsloven.
Politidirektoratet finner videre at en vurdering av om registrerte opplysninger om enkeltpersoner er uriktige eller ufullstendige i de fleste tilfeller vil kreve politifaglig kompetanse og ofte en grundig kjennskap til den aktuelle saken. Dette er kompetanse Datatilsynet ikke besitter. Kompetanse i forhold til pålegg om retting eller sletting på vegne av den registrerte vil også i praksis medføre at Datatilsynet får en funksjon som klageorgan.
Datatilsynet som tilsynsorgan vil som hovedregel kunne gis innsyn i politiets ordinære registre, herunder kriminaletterretningsregistre. Politidirektoratet fremholder at det her må gjøres unntak for behandlinger/registre i forbindelse med vitnebeskyttelse og informantbehandling. Dette er opplysninger som ikke er alminnelig tilgjengelige i politiet, men hvor kun et meget begrenset antall personer har tilgang. Opplysningene er også i større grad enn ved annet politiarbeid registrert på bakgrunn av samtykke fra den registrerte. Som et ledd i oppfølging av Ot. prp. nr. 40 (1999-2000) om endringer i straffelovgivningen som tiltak for å beskytte aktørene i straffesaker mot trusler og represalier, er det i politiet utarbeidet nasjonale retningslinjer for vitnebeskyttelse og igangsatt arbeid i forbindelse med beskyttelse av trusselutsatte. I 2002 vedtok Stortinget lovendringer i politiloven og straffeloven som gir mulighet for fiktiv identitet (nytt navn, fødselsnummer m.v). Datatilsynet bør ikke ha tilgang til informasjon som behandles i forbindelse med vitnebeskyttelse. Spesielt opplysninger som gjelder fiktiv identitet og re-lokalisering må være unntatt innsyn. Dette i første rekke av hensyn til trygghet og sikkerhet for den trusselutsatte. Det kan imidlertid også anføres at ansatte i Datatilsynet ved sin kunnskap om ny identitet eller tilholdssted for trusselutsatte, selv kan bli utsatt for trusler fra kriminelle miljøer. Politiets arbeid med alvorlig og organisert kriminalitet kan også vanskeliggjøres, eventuelt umuliggjøres, dersom Datatilsynet gis tilgang til og kunnskap om informanters identitet. Politidirektoratet finner derfor at denne type opplysninger også må unntas innsyn.
Advokatforeningen uttaler at innholdet i utvalgets forslag til kapittel 7 sikrer mulighetene for kontroll og tilsyn av bruken av opplysningene. I og med at det stilles krav til sporbarhet i behandlingen, vil internkontrollen bli mer effektiv.
Advokatforeningen finner også at ved at Datatilsynet i tillegg er tillagt tilsynsoppgaver, samt at loven stiller krav til at den behandlingsansvarlige skal ha et personvernombud bidrar dette til at den behandlingsansvarlige opprettholder fokus på de personvernrettslige aspekter.
16.2.6 Departementets vurdering
16.2.6.1 Tilsyn
Departementet er enig i utvalgets forslag om at Datatilsynet skal være tilsynsorgan for politiet etter politiregisterloven og den begrunnelsen som er gitt. Datatilsynet er i kraft av personopplysningsloven alminnelig tilsynsorgan for forvaltningens behandling av personopplysninger, med mindre noe annet fremgår av særlov. Helseregisterloven fastslår at dette også gjelder for helseforvaltningen og helsetjenesten. Videre har Datatilsynet allerede tilsyn med politiets behandling av personopplysninger etter SIS-loven. Siden det ikke finnes et eget uavhengig tilsynsorgan for politiet og påtalemyndigheten er det derfor naturlig at denne oppgaven tillegges Datatilsynet.
Når det gjelder tilsynskompetansen har utvalget valgt å skille mellom tilsyn i og utenfor straffesak, og anbefalt at Datatilsynets tilsyn ikke skulle gjelde behandling av opplysninger i den enkelte straffesak. Utvalget la i denne sammenheng til grunn at den kontroll som allerede eksisterer i straffesaker gjennom domstolens og Riksadvokatens kontroll er tilstrekkelig for å oppfylle kravene i EMK art 8 om tilfredsstillende garantier mot misbruk.
Utvalgets sondring kan heller ikke på dette punkt opprettholdes i og med at loven nå også foreslås å gjelde for behandling av opplysninger i straffesaker. Departementet viser her også til rammebeslutning om personvern i tredje søyle artikkel 25, der det ikke åpnes for unntak fra kravet om at all behandling av opplysninger skal være gjenstand for tilsyn som foretas av et uavhengig organ. Departementet kan heller ikke se at domstolenes kontroll i forbindelse med behandlingen av straffesaker i tilstrekkelig grad gjelder personvernlovgivningen. Videre vil heller ikke Riksadvokatens tilsyn med politiets og påtalemyndighetenes behandling av personopplysninger i straffesaker være uavhengig. Denne kontrollen kan derfor ikke sies å oppfylle kravene i personverndirektivet, politirekommandasjonen eller rammebeslutningen om personvern i tredje søyle.
Det vil på bakgrunn av dette ikke være mulig å videreføre utvalgets forslag om et skille i tilsynskompetansen i og utenfor straffesak, og departementet foreslår derfor at Datatilsynet får tilsynskompetanse i forhold til politiregisterloven også i straffesaker, noe som blant annet innebærer at Datatilsynet gis tilgang til de opplysninger som behandles i straffesaker. Dette vil også videreføre personopplysningslovens og SIS-lovens system i forhold til tilsynsorgan og kompetanse.
Utvalget foreslår at Datatilsynet gis full tilsynskompetanse i forhold til politiregisterloven, også i forhold til taushetspliktsreglene og vandelskontroll, dog med unntak av opplysninger som behandles av PST. Tilsynet bør etter utvalgets oppfatning omfatte kontroll av at loven og forskrifter gitt i medhold av den blir fulgt, og at feil eller mangler blir rettet. Med andre ord skal tilsynet både kontrollere at loven blir etterlevd og at eventuelle endringer blir gjort. Departementet tiltrer denne vurderingen.
For PST vil tilsynet falle inn under EOS-utvalgets kompetanse, se mer om kontroll av PST og EOS-utvalgets kompetanse i kapittel 17.
Utvalget anbefaler at tilsynsorganet får tilgang til opplysningene i den utstrekning det er nødvendig for at de skal kunne utføre sitt arbeid. Utvalget finner at en slik tilgang er nødvendig dersom tilsynsorganer og klageorganer skal kunne utføre sine arbeidsoppgaver på en forsvarlig måte, og at retten til slik tilgang er nedfelt i personvernlovgivningen.
Politidirektoratet fremholder i sin høringsuttalelse at det bør gjøres unntak for behandlinger/registre i forbindelse med vitnebeskyttelse og informantbehandling. Dette er opplysninger som ikke er alminnelig tilgjengelige i politiet, men hvor kun et meget begrenset antall personer har tilgang. Opplysningene er også i større grad enn ved annet politiarbeid registrert på bakgrunn av samtykke fra den registrerte. Spesielt opplysninger som gjelder fiktiv identitet og re-lokalisering må etter Politidirektoratets oppfatning være unntatt innsyn. Politidirektoratet nevner videre informanters identitet som en annen type opplysninger hvor Datatilsynet ikke bør gis tilgang.
Departementet ser disse utfordringene, men finner at disse må løses gjennom kontroll av tilsynspersonalet gjennom uttømmende politiattest, strenge taushetspliktregler samt mulig begrensning i antallet personer som kan føre tilsyn med denne type opplysninger. Som nevnt ovenfor kan det ikke gjøres unntak fra kravet om uavhengig tilsyn for særskilte typer opplysninger, jf. også artikkel 25 i rammebeslutning om personvern i tredje søyle, og tilsynskompetansen må således også omfatte slike opplysninger. Departementet er således enig i utvalgets vurderinger og foreslår at det skal være krav til uttømmende politiattest for dem som skal gjennomføre kontrollen. Gjennom dette kan også det antallet mennesker som får utlevert opplysninger begrenses. Departementet foreslår også at tilsynsmyndighetene underlegges samme taushetsplikt etter politiregisterloven som andre som har tilgang til opplysningene.
Utvalget anbefaler at det inntas en bestemmelse i loven hvor det nedfelles en rett for Datatilsynet, etter begjæring fra den registrerte, til å gå inn i opplysninger om en person og kontrollere at opplysningene om vedkommende er riktige, og om opplysningene er registrert og brukt i samsvar med loven. Departementet tiltrer denne vurderingen, men foreslår å gjøre bestemmelsen lik løsningen i SIS-loven § 21 slik at Datatilsynet etter begjæring fra den registrerte plikter å kontrollere om opplysningene om vedkommende er riktige, om reglene om innsyn er fulgt samt at registrering og bruk samsvarer med loven, jf. endringen i SIS-loven § 21 i Ot.prp. nr. 38 (2007-2008). Bakgrunnen for endringene i SIS-loven § 21 er nærmere omtalt i punkt 15.1.6.2. Departementet mener videre at den registrertes rett til å begjære kontroll bør komme tydeligere frem, og foreslår derfor en egen bestemmelse i lovforslaget. Selv om dette ikke innebærer noen realitetsendring blir det på denne måten i større grad synliggjort at kontroll etter begjæring fra den registrerte ikke bare er et ledd i Datatilsynets vanlige tilsynsfunksjon, men at det også er en rettighet for den registrerte. Adgangen til å be Datatilsynet om kontroll består uavhengig av om den registrerte har benyttet seg av adgangen til å klage til overordnet myndighet eller ikke, noe som også foreslås uttrykkelig nevnt i lovforslag til § 55 siste ledd. De foreslåtte endringene sett under ett innebærer etter departementets oppfatning en styrking av den registrertes personvern. I tillegg rendyrker man samtidig det såkalte tosporete system, blant annet ved at det forelås at Datatilsynet ikke lenger skal bli involvert i klagebehandlingen til overordnet organ, jf. nærmere om dette i punkt 15.1.6.2. På denne måten unngår man den situasjon at Datatilsynet i forbindelse med en tidligere klagesak allerede har uttalt seg om nettopp det spørsmålet den registrerte ber om å få kontrollert i etterkant av en klagesak.
16.2.6.2 Påleggskompetanse og andre virkemidler
Når det gjelder spørsmålet om påleggskompetanse og påleggskompetansens omfang anbefaler utvalget at Datatilsynet, som tilsynsorgan, gis påleggskompetanse. Utvalget legger vekt på at det er nødvendig at man ved opprettelsen av en ny ordning ikke kan basere denne på frivillig etterlevelse, men må gi tilsynsmyndigheten påleggskompetanse. Utvalget legger også vekt på at reglene bør være lik dem som gjelder for behandling av opplysninger etter Schengen-konvensjonen. Utvalget foreslår imidlertid enkelte innskrenkninger i påleggskompetansen i forhold til spørsmål om taushetsplikt, sekundærbruk av opplysninger, vandelskontroll og i forhold til spørsmål om innsyn. Felles for disse innskrenkningene er at dette av utvalget anses som spørsmål av politifaglig art.
I forbindelse med forhandlingene om rammebeslutning om personvern i tredje søyle var som nevnt ovenfor særlig spørsmålet vedrørende tilsynsorganets påleggskompetanse et sentralt tema. Resultatet av forhandlingene ble at tilsynsorganets virkemidler i bestemmelsens art 25 nr. 2 bokstav b ble opplistet som alternative eksempler på hva som ble ansett å være slike «effektive» virkemidler som var tilstrekkelig for å oppfylle kravet i bestemmelsen. Det er således flere alternative modeller for de sanksjoner tilsynsorganet kan benytte.
I påtalesporet er behandling av opplysninger og prosessen fra påtale til eventuell domfellelse inngående regulert. Straffeprosessloven regulerer prosessen fra etterforskning settes i gang frem til straffesaken endelig avsluttes. I denne prosessen må det være klart at det vanskelig er rom for pålegg om retting og sletting når det gjelder behandling av opplysninger i den enkelte straffesak. I denne sammenheng kan det også vises til straffeprosessloven § 56 annet ledd annet punktum hvoretter bare Kongen i statsråd kan utferdige alminnelige regler og gi bindende pålegg om utføringen av riksadvokatens verv. Dersom man ville åpne for å gi et tilsynsorgan adgang til å gripe direkte inn i behandling av opplysninger i den enkelte straffesak, ville dette etter departementets oppfatning være vanskelig å forene med det prinsippet som kommer til uttrykk i nevnte bestemmelse. Departementet mener etter dette at Datatilsynet ikke kan gis påleggskompetanse i forhold til påtalemyndighetens behandling av opplysninger i straffesaker. Rammebeslutningen om personvern i tredje søyle setter imidlertid krav om bruk av «effektive» virkemidler, og et av disse virkemidlene er påtale av brudd på regelverket, jf. artikkel 25 nr. 2 bokstav b nest siste alternativ. Departementet foreslår derfor at Datatilsynet må ha adgang til å anmerke funn om behandling av opplysninger i straffesaker som etter tilsynets oppfatning er i strid med politiregisterloven. Datatilsynets anmerkning bør meddeles den behandlingsansvarlige med kopi til riksadvokaten som øverste ansvarlig for straffesaker. Slik anmerkning vil ikke være bindende for den behandlingsansvarlige, men det må forutsettes at den behandlingsansvarlige vurderer saken og kontrollerer om det har forekommet uregelmessigheter i forbindelse med behandling av opplysninger. Departementet antar imidlertid at en slik situasjon bare unntaksvis vil bli aktuell. De opplysningene som er nedfelt i straffesaksdokumentene vil regelmessig ikke være gjenstand for endringer, og med de vide rammer som er gitt for behandling av opplysninger i straffesaker er det også ellers lite sannsynlig at behandlingen vil være i strid med lovens bestemmelser.
Det som er sagt ovenfor må imidlertid ikke forveksles med Datatilsynets påleggskompetanse hva gjelder spørsmål knyttet til informasjonssikkerhet og hvordan behandlingen av opplysninger ellers er innrettet, jf. nærmere om dette nedenfor.
Utenfor straffesak er situasjonen annerledes og behandlingen av opplysninger vil fullt ut reguleres av politiregisterloven i den forstand at de ikke suppleres av straffeprosesslovens bestemmelser. Utvalget tar utgangspunkt i at tilsynsmyndigheten må ha påleggskompetanse her, men med unntak for de bestemmelser som innebærer politifaglige vurderinger, slik som taushetsplikt, utlevering av opplysninger til annet formål (sekundærbruk), vandelskontroll og innsyn.
Før departementet kommenterer utvalgets forslag på dette punkt, finner man grunn til å nevne at personvern er mer enn lovmessighet i behandlingen av opplysninger. En sentral del av personvernet er informasjonssikkerheten knyttet til behandling av opplysningene, og den internkontroll som skal sikre etterlevelse av lovverket. Utvalget synes ikke å ha berørt disse sidene av personvernet i sin drøftelse av påleggskompetanse. Slik departementet ser det vil det være viktig også i straffesaker å føre tilsyn med, og kunne gi pålegg om, informasjonssikkerhet og internkontroll. Dette er sider ved behandlingen av opplysninger som ikke er gjenstand for egen regulering i straffeprosessloven, eller kontroll fra overordnet påtalemyndighet eller domstol. Likeledes mener departementet at det ved behandling av opplysninger utenfor straffesak må være full påleggskompetanse i forhold til informasjonssikkerhet og internkontroll. Dette er grunnleggende bestemmelser som skal sikre den enkeltes personvern og vil ikke støte an mot politifaglige vurderinger.
Når det gjelder øvrig påleggskompetanse utenfor straffesak er departementet enig i utvalgets forslag, herunder at innsynsrett, vandelskontroll og brudd på taushetsplikten er unntatt fra Datatilsynets påleggskompetanse. Samtlige av disse spørsmålene er av utpreget politifaglig art, og man finner det derfor ikke naturlig at Datatilsynet skal kunne gi bindende pålegg i slike saker. Dette må også ses i sammenheng med den begrunnelsen som ligger til grunn for at Datatilsynet ikke er klageinstans for denne typen avgjørelser, jf. nærmere om dette i punkt 15.1.6. Departementet har merket seg at Politidirektoratet har gitt uttrykk for betenkeligheter hva gjelder utvalgets forslag om at Datatilsynet skal ha påleggskompetanse i saker som gjelder retting og sletting av opplysninger. Utvalgets forslag på dette punkt er en videreføring av den tilsvarende bestemmelsen i SIS-loven § 23 første ledd, og utvalget så ikke noen grunn til å foreslå en annen regulering i politiregisterloven. Det er imidlertid i denne sammenheng viktig å merke seg at det heller ikke var utvalgets intensjon at Datatilsynet skulle overprøve politifaglige vurderinger.
Departementet har under noe tvil kommet til å videreføre utvalgets forslag på dette punkt. At man har den samme ordning i SIS-loven kan i utgangspunktet ikke være et avgjørende moment, idet opplysningene i SIS er av en annen karakter enn de opplysninger som kan registreres i henhold til politiregisterloven. I SIS-loven er det i § 6 gitt en uttømmende opplisting av de opplysninger som kan registreres om personer, og hovedformålet er å kunne identifisere den registrerte. SIS inneholder således ingen ikke-verifiserte opplysninger eller vurderinger med unntak av at det kan registreres om vedkommende anses som voldelig. Som følge av dette vil det for eksempel være enklere å overprøve om de registrerte opplysningene er i samsvar med loven eller ikke, noe som igjen gjør det uproblematisk å utstyre tilsynsmyndigheten med påleggskompetanse. Dette vil kunne stille seg annerledes når registrering, og dermed retting og sletting, i større grad er knyttet til politifaglige vurderinger, jf. også anførslene i Politidirektoratets høringsuttalelse. På den annen side må det igjen minnes om at Datatilsynets oppgave er å påse at behandlingen av opplysninger er i samsvar med den aktuelle lovgivningen. Etter hva man forstår er Politidirektoratets bekymring først og fremst begrunnet i at Datatilsynet gjennom påleggskompetanse kan overprøve politifaglige vurderinger knyttet til nødvendighetskriteriet. Til dette vil man bemerke at Datatilsynet i slike tilfeller ber om å få dokumentert at politiet faktisk har foretatt en vurdering av om behandlingen er nødvendig og hva denne vurderingen går ut på. Når slik dokumentasjon kan forelegges, er kravet om lovmessig behandling oppfylt og de personvernmessige aspektene vil da i tilstrekkelig grad være ivaretatt. Datatilsynet vil således ikke overprøve den konkrete politifaglige vurderingen som ligger til grunn for registreringen, og departementet kan på denne bakgrunn ikke se at det er betenkelig å gi Datatilsynet påleggskompetanse hva gjelder retting og sletting. I tillegg kan det nevnes at lovforslaget legger opp til en detaljert regulering av blant annet sletting. I lovforslaget til § 14 skal de enkelte behandlinger/registre reguleres i forskrift. Forskriftsreguleringen vil innebære at de enkelte vurderinger knyttet til for eksempel retting og sletting undergis en dels detaljert og dels skjematisk regulering, og det vil etter dette være lite rom for ytterligere vurderinger. Den politifaglige vurderingen vil på denne måten ivaretas og påleggskompetansen vil etter dette kun knyttes til lovmessigheten i behandlingen.
Departementet er videre enig i utvalgets forslag om at spørsmålet om innsyn og brudd på taushetspliktsreglene ikke kan være gjenstand for pålegg fra tilsynsmyndigheten, noe som også er i samsvar med den tilsvarende regelen i SIS-loven § 23 første ledd annet punktum hva gjelder innsyn. Slike tilfeller må vurderes fra sak til sak og hvorvidt innsyn kan gis eller opplysninger kan utleveres vil være en vurdering av utpreget politifaglig art. Derimot foreslår departementet på lik linje med behandling av opplysninger i straffesaker at Datatilsynet gis adgang til å gi anmerkning på behandling som etter tilsynets oppfatning er lovstridig. På denne måten er Datatilsynet utstyrt med effektive virkemidler for all behandling av opplysninger, slik også rammebeslutning for personvern i tredje søyle gir anvisning på.
Departementet foreslår etter dette at Datatilsynet skal ha påleggskompetanse i forhold til informasjonssikkerhet, jf lovforslaget til § 15 og internkontroll, jf lovforslaget til § 16. I tillegg foreslås at Datatilsynet skal ha påleggskompetanse utenfor straffesak, med unntak av spørsmål vedrørende innsyn, overholdelse av taushetsplikt og vandelskontroll. For behandling av opplysninger som er unntatt fra påleggskompetansen foreslår departementet at Datatilsynet gis adgang til å anmerke forholdet overfor den behandlingsansvarlige.
16.3 Personvernombud
16.3.1 Nasjonale og internasjonale rammer for lovgivningen
I personverndirektivet artikkel 18 nummer 2 åpnes det for at det kan opprettes et personvernombud. Den behandlingsansvarlige kan utpeke en person med ansvar for beskyttelse av personopplysninger, hvilket etter direktivet medfører en forenkling av eller bortfall av meldeplikten.
Et personvernombud skal ha som oppgave å sikre at den behandlingsansvarlige følger personopplysningsloven og personopplysningsforskriften. Regler om ombudet finnes blant annet i personopplysningsforskriften § 7-12, hvor det fremgår at Datatilsynet kan gjøre unntak fra meldeplikten etter personopplysningsloven §§ 31-32 dersom den behandlingsansvarlige utpeker et personvernombud. I kgl. res. 15. desember 2000 nr. 1265 ble ordningen utdypet noe:
«Etter ordningen skal den behandlingsansvarlige utpeke en person med ansvar for beskyttelse av personopplysninger. Datatilsynet kan da samtykke i at det gjøres unntak fra den meldeplikten som ellers foreligger. Ombudet skal være en fysisk person. Vedkommende som utpekes, skal ha ansvar på et bestemt og begrenset område. Ombudet skal føre fortegnelser over behandlinger og behandlingsansvarlige, kontrollere den behandlingsansvarliges behandlinger og bistå de registrerte med å ivareta sine rettigheter etter personopplysningsloven og forskrifter gitt i medhold av den. Ordningen innebærer at meldinger sendes til ombudet i stedet for Datatilsynet. Dersom ombudet har mistanke om brudd på reglene om behandling av personopplysninger, skal dette påpekes overfor den behandlingsansvarlige og meddeles Datatilsynet.
I forbindelse med godkjenning av ombudet kan Datatilsynet stille konkrete krav til vedkommende. Datatilsynet vil også kunne trekke tilbake samtykket som er gitt. Det må kunne avtales hvilke opplysninger ombudet skal overføre til Datatilsynet.»
I selve personopplysningsloven har man imidlertid ingen regler om ombudsordningen. I tiden etter ikrafttredelsen av personopplysningsloven og personopplysningsforskriften er den i det alt vesentlige blitt utviklet av Datatilsynet. I tillegg til at man på Datatilsynets internettsider finner en oversikt over samtlige personvernombud (totalt 104 pr. 9. mai 2008) og virksomhetene disse fører tilsyn med, er det her også publisert en veiledning om ordningen («Personvernombud – Ombudets rolle og arbeidsoppgaver»).
16.3.2 Utvalgets forslag
Utvalget anbefaler en ordning med plikt til opprettelse av personvernombud i politiet. Ombudets rolle foreslås å være dels rådgivende og dels kontrollerende. Ombudet må kunne bistå ledelsen i spørsmål om behandling av personopplysninger og mer generelt i spørsmål om personvern. Samtidig må ombudet ha en tilsynsrolle innad i politiet, og si i fra dersom politiregisterloven eller forskrifter gitt i medhold av loven ikke overholdes. Utvalget ser det også som naturlig at personvernombudet har en sentral rolle ved utarbeidelse av meldinger. Tilsvarende bør ombudet bistå i forbindelse med utarbeidelse av internkontrollsystemer og gjennomføringen av disse. Ombudet bør også kunne gis en intern opplæringsfunksjon i forhold til tjenestemenn om regelverket for behandling av opplysninger.
Ut fra personvernombudets oppgaver ser utvalget det som naturlig at ombudet blir et kontaktpunkt og støttespiller for Datatilsynet i sin kontakt med distriktene. Det samme anses naturlig i forhold til Politidirektoratet i spørsmål som faller inn under ombudets arbeidsoppgaver.
Utvalget ser det som viktig at det opprettes en slik stilling med tanke på å høyne bevisstheten og kunnskapen innenfor politiet om behandling av personopplysninger og personvernspørsmål generelt. I et system hvor det er lagt opp til at den behandlingsansvarlige selv har ansvaret for å oppfylle vilkårene, vil det være viktig med kompetanse i distriktene og særorganene. Utvalget tror dessuten at et personvernombud kan styrke tilliten til etaten.
At det opprettes et personvernombud er ikke tenkt å få innvirkning på de andre bestemmelsene i politiregisterloven, og ombudet kommer således som et tillegg til de andre kontrollfunksjonene. Utvalget anser likevel stillingen som et viktig ledd i en effektiv garanti for en god gjennomføring av loven, samt oppfyllelse av EMK artikkel 8, og foreslår derfor at det etableres en plikt til å ha personvernombud.
Utvalget har drøftet om stillingen skal kalles et ombud, men har ikke funnet et annet forslag på navn, og har derfor valgt terminologien fra personopplysningsloven.
Utvalget mener at det bør være et personvernombud i alle politidistrikt og i særorganene. I mindre distrikter kan ombudsfunksjonen utføres av en person i kombinasjon med andre gjøremål.
Ombudets oppgaver får etter utvalgets mening også betydning for om, og i så fall hvor i organisasjonen, ombudet skal plasseres i linjen. Det er viktig at ombudet har lokalkunnskap og god kontakt med dem som daglig bruker politiets systemer. I tillegg må ombudet ha kontakt med ledelsen ved distriktet eller særorganet, som er behandlingsansvarlig, men det er også viktig at det er uavhengig av disse. På bakgrunn av dette anbefaler utvalget at ombudet får en fristilt rolle i det enkelte distrikt eller særorgan. Deres fysiske arbeidsplass vil imidlertid være i distriktet.
16.3.3 Høringsinstansenes syn
I høringsrunden var Datatilsynet svært positiv til forslaget, og også Kripos støtter forslaget. Ingen av høringsinstansene hadde innvendinger.
Datatilsynet uttaler at de i flere år og i flere sammenhenger har tatt til orde for etablering av en ordning med personvernombud i politisektoren. Flere andre land har tilsvarende ordninger som fungerer bra. Tilsynet mener at tiden er mer enn moden for etablering av personvernombud i politiet også i Norge.
Datatilsynet finner at ordningen med personvernombud dessverre har fått en lite sentral plass i utredningen og i lovforslaget. For å vise bestemmelsens viktighet, bør den komme tidligere i lovforslagets kronologi, for eksempel i kapittelet om informasjonssikkerhet mv. Enkelte av ombudets hovedoppgaver bør konkretiseres i bestemmelsen. Datatilsynet er videre av den oppfatning at hvert politidistrikt bør ha sitt eget personvernombud. Dette bør fremgå av lovbestemmelsen. Ombudet vil få omfattende oppgaver, og det vil ikke være overkommelig dersom et personvernombud er ansvarlig for flere distrikter.
Kripos støtter tanken om et nasjonalt personvernombud, i tillegg til de lokale. Kripos finner at denne bør ligge til Kripos.
Politiets Sikkerhetstjeneste (PST) kan se positive sider ved opprettelsen av et eget personvernombud for politiet og viser til den begrunnelse som er gitt for forslaget, med spesiell henvisning til erfaringene fra land i EU. Flere av de oppgaver som er tiltenkt ombudet, vil imidlertid for PSTs vedkommende, allerede være ivaretatt innenfor dagens organisasjon. Hvis det i fremtiden opprettes et personvernombud for PST, bør ombudet være plassert ved DSE (den sentrale enhet).
16.3.4 Departementets vurdering
Departementet ser det i utgangspunktet som udelt positivt at det innenfor politiet og påtalemyndigheten etableres stillinger som kan ivareta de oppgaver utvalget beskriver. Departementet viser imidlertid til at en etablering av en ordning med personvernombud vil måtte ses i sammenheng med den personvernombudsordning som er etablert i personopplysningsloven. Professor dr.juris Dag Wiese Schartum og førsteamanuensis dr. juris Lee A. Bygrave har på oppdrag fra blant annet Justisdepartementet vurdert dagens ordning med personvernombud og gjeldende regulering av denne, jf rapport 2006 side 126 flg (Utredning av behovet for endringer i personopplysningsloven). Utrederne foreslår flere endringer i personopplysningsloven for å klargjøre og styrke denne ordningen. Forslagene vil bli sendt på høring som ledd i den større etterkontrollen av personopplysningsloven som departementet arbeider med. De nærmere reglene om bruk av personvernombud eller lignende stilling i politiet bør ses i sammenheng med det som vil bli den endelige reguleringen i personopplysningsloven når etterkontrollen av loven er avsluttet.
Departementet ønsker likevel å lovfeste en slik ordning i politiet. Nedenfor har departementet derfor gjennomgått enkelte problemstillinger som man finner å kunne avklare allerede nå. Hvordan den nærmere utformingen av ordningen blir må imidlertid avventes, da man tar sikte på å tilpasse ordningen for politiet til den som vil bli etablert i personopplysningsloven. En nærmere regulering og tilpasning må således skje i forskriften. Det antas at forslaget til en endret personopplysningslov vil foreligge når forskriften vedtas, slik at ordningen er på plass når politiregisterloven trer i kraft.
Utvalget har valgt terminologien ombud etter personopplysningslovens modell. Utvalget beskriver en kompetanseperson som skal bistå registrerte, behandlingsansvarlige og andre i arbeidet med å oppfylle personopplysningslovens krav. Departementet mener imidlertid at terminologien kan by på utfordringer i forholdet mellom rollebetegnelse og rollekompetanse, og foreslår derfor betegnelsen «personvernrådgiver» i lovforslaget til § 63.
Utvalgets forslag innebærer en plikt for den enkelte behandlingsansvarlige til å etablere personvernombud. Departementet tiltrer ikke utvalgets vurdering på dette punkt. Etter departementets oppfatning er det mindre hensiktsmessig dersom plikten til å ha personvernrådgiver knyttes til den enkelte behandlingsansvarlige. En slik modell vil være svært ressurskrevende uten at det er sikkert om det er behov for en så stor mengde personvernrådgivere.
Departementet foreslår i stedet en modell hvor opprettelse av ordningen ikke knyttes til den enkelte behandlingsansvarlige. I praksis vil også kontrollen knyttes mot behandlingen, og ikke den behandlingsansvarlige.
Som nevnt over vil man komme tilbake til den nærmere utformingen av ordningen i forskriften, herunder hvilke konsekvenser ordningen vil ha for den behandlingsansvarlige. Siden man antar at forslaget til en endret personopplysningslov vil foreligge når forskriften vedtas, vil ordningen være på plass når politiregisterloven trer i kraft. For øvrig vises til punkt 20.4.3 hva gjelder omfanget av den foreslåtte ordningen.