6 Sentrale prinsipper og hensyn
6.1 Innledning
Ved utformingen av en ny lov om politiets og påtalemyndighetens behandling av opplysninger er det flere sentrale prinsipper og hensyn som må ivaretas. Internasjonale forpliktelser legger stadig større føringer på nasjonal lovgivning, og den nasjonale personvernlovgivningen danner ytterligere rammer for innholdet i lovforslaget. Det er likevel på det rene at politiets behandling av opplysninger på flere måter skiller seg fra andre offentlige organers behandling av opplysninger, jf. nærmere om dette i punkt 6.2. Siden politiets hovedoppgave er bekjempelse av kriminalitet, ligger det i sakens natur at flere av prinsippene som ligger til grunn for den alminnelige personvernlovgivningen ikke fullt ut kan komme til anvendelse i en politiregisterlov. Det er også tatt høyde for denne forskjellen i de internasjonale regelsettene. Den største utfordringen er derfor å finne en god balansegang mellom hensynet til kriminalitetsbekjempelsen på den ene siden og hensynet til personvern på den andre siden.
6.2 Hensynet til kriminalitetsbekjempelsen
Kriminalitet er en trussel både for den enkeltes livskvalitet og livsutfoldelse og for samfunnet som helhet. Befolkningen forventer at politiet både oppklarer og avverger kriminalitet, og det er viktig å påse at politiet har de virkemidler som trengs for å ivareta denne funksjonen. Behandling av opplysninger er en sentral faktor i politiets kamp mot kriminalitet, og informasjonsteknologien er blitt et stadig viktigere arbeidsredskap. Hensynet til kriminalitetsbekjempelsen må veie tungt ved utformingen av de regler som styrer politiets informasjonsbehandling, idet man ellers kan risikere å redusere politiets mulighet til å bekjempe kriminalitet.
Det er også nettopp hensynet til kriminalitetsbekjempelsen som gjør at politiets behandling av opplysninger i flere henseender er forskjellig fra andre forvaltningsorganers behandling. For det første beror politiets behandling av opplysninger som regel ikke på samtykke fra den registrerte. I mange tilfeller, som for eksempel kriminaletterretning, vet den berørte overhodet ikke at politiet behandler opplysninger om ham. Likeledes oppfatter de fleste det som ubehagelig å vite seg registrert hos politiet, noe som har sammenheng med at politiets informasjonsbehandling sjeldent resulterer i et gode for vedkommende. En annen vesentlig forskjell er måten politiet innhenter opplysninger på. Mens de fleste offentlige organer mottar sine opplysninger frivillig fra befolkningens side, møter politiet mer motstand. Politiet har derfor fått vide fullmakter til selv å innhente opplysninger, herunder ved tvang. Måten opplysningene innhentes på medfører også gjerne at politiets opplysninger er av lavere kvalitet enn hos andre forvaltningsorganer. For eksempel er tips, vitneutsagn med videre ikke nødvendigvis korrekte på innsamlingstidspunktet. I tillegg plikter ikke den mistenkte/siktede å forklare seg sannferdig i egen sak, og vedkommende kan til og med være interessert i at politiets opplysninger ikke er korrekte. På denne bakgrunn er kvalitetssikring av opplysninger en av politiets fremste oppgaver, og kvalitetssikring av innhentede opplysninger er et viktig moment for spørsmålet om den videre bruk av opplysningene.
6.3 Legalitetsprinsippet, forutberegnelighet og forholdsmessighet
Legalitetsprinsippet og krav til forutberegnelighet gjør seg i særlig grad gjeldende ved politiets informasjonsbehandling. Det sentrale personvernrettslige prinsippet om selvråderett over egne personopplysninger gjelder, av hensyn til kriminalitetsbekjempelsen, i all hovedsak ikke for politiets behandling. Siden behandling av personopplysninger uten samtykke må anses som et inngrep i borgernes privatsfære, følger det av legalitetsprinsippet at en slik behandling må ha hjemmel i lov eller forskrift. For å ivareta hensynet til forutberegnelighet på en god måte, er det i tillegg viktig å påse at hjemmelen i tilstrekkelig grad er klar og presis.
Til tross for at hensynet til kriminalitetsbekjempelsen tilsier at det hjemles slike inngrep, må også hensynet til personvernet ivaretas. Ved siden av rettighetsgarantier for den enkelte, jf. nærmere om dette i punkt 6.5, er det derfor viktig å sørge for at det er forholdsmessighet mellom kriminaliteten som bekjempes og det inngrep som gjøres i den enkeltes personvern.
Hensynet til legalitetsprinsippet, forutberegnelighet og forholdsmessighet er i det alt vesentlige sammenfallende med prinsippene i EMK artikkel 8, og det vises til det som er sagt i punkt 4.3.1.
6.4 Formålsbestemthets- og nødvendighetsprinsippet
Formålbestemthetsprinsippet er et sentralt personvernrettslig prinsipp som går ut på at personopplysninger kun kan benyttes til konkret angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet og administrasjon. Prinsippet er tuftet på at individet har selvråderett over egne personopplysninger. Siden prinsippet om fri rådighet over personopplysninger ikke kan gjennomføres fullt ut i et moderne samfunn, er det i stedet satt visse skranker for behandlingen, hvor kjernen er kravet om et konkret angitt formål. Formålbestemthetsprinsippet skal skape forutberegnelighet for den enkelte, ved å gi klarhet og oversikt over behandlingene.
En viktig følge av formålsbestemthetsprinsippet er grensen for såkalt sekundærbruk av opplysningene, det vil si at opplysningene brukes til andre formål enn det de opprinnelig var samlet inn til. Opplysningene kan ikke brukes til formål som er uforenlige med innsamlingsformålet, med mindre den registrerte samtykker, eller det er fastsatt i lov eller i medhold av lov, jf. også lovforslag til § 4.
Nødvendighetsprinsippet står i nær sammenheng med prinsippet om formålsbestemthet. Nødvendighetsprinsippet er et gjennomgående personvernprinsipp, og innebærer at en behandling aldri skal være mer omfattende enn det som er nødvendig ut fra formålet. Prinsippet er blant annet nedfelt i personopplysningsloven § 8. Nødvendighetskravet representerer en begrensning i flere relasjoner ved behandling av opplysninger. Prinsippet setter blant annet skranker for hvilke personer som kan registreres, hvilke typer opplysninger som kan registreres om personen, hvor lenge opplysningen kan oppbevares og hvem som får tilgang til opplysningen. I tillegg kan nødvendighetsprinsippet medføre krav, som for eksempel at en behandling må ha de sikkerhetsforanstaltninger som er nødvendige ut fra formålet.
6.5 Den enkeltes rettigheter
Den enkeltes rettigheter kommer først og fremst til uttrykk i form av innsynsretten, retten til å få rettet og slettet uriktige opplysninger samt retten til å klage. Disse rettighetene er en viktig del av personvernet og spiller regelmessig en sentral rolle ved utforming av regelverk som gjelder behandling av personopplysninger. Innsynsretten er den mest sentrale av disse rettighetene, idet den er en grunnleggende forutsetning for å kunne kontrollere om de registrerte opplysningene er korrekte og i samsvar med lovens vilkår. Krav om retting og sletting, samt adgangen til å klage, er derfor avhengig av retten til innsyn.
Når det gjelder politiets behandling av personopplysninger, vil det i praksis ikke være mulig å gjennomføre en innsynsrett uten begrensninger. Det ville nærmest bli umulig å bekjempe kriminalitet dersom de registrerte skulle ha innsyn i alle opplysninger på ethvert tidspunkt. Dernest kan hensynet til andre involverte, som for eksempel kilder, tilsi at det ikke gis innsyn.
På denne bakgrunn vil det være nødvendig å gjøre unntak fra innsynsretten i de tilfellene der innsyn kan skade kriminalitetsbekjempelsen eller andre involverte personer. Den registrertes rettigheter vil imidlertid likevel kunne ivaretas gjennom kontrollordninger, se punkt 6.6. I tillegg må det fremgå av regelverket i hvilke tilfeller det kan bli aktuelt å bli registrert uten at det gis innsyn, slik at dette er forutberegnlig for den registrerte.
6.6 Kontroll og datasikkerhet
Siden flere av de sentrale personvernhensynene må vike for hensynet til kriminalitetsbekjempelsen, er det særlig viktig å etablere gode kontrollordninger. Den europeiske menneskerettighetsdomstolen har slått fast at uavhengige kontrollorganer er en forutsetning for behandlinger der den registrerte ikke har innsynsrett. Når et uavhengig kontrollorgan kan kontrollere opplysninger som er unntatt fra innsyn, vil det gi en tilfredsstillende garanti for at behandlingen skjer på lovlig måte. Viktigheten av gode kontrollordninger gjør seg imidlertid også gjeldende der den registrerte har innsynsrett, idet politiets behandling av opplysninger i mange tilfelle i seg selv må anses inngripende og belastende for den enkelte.
I tillegg til eksterne kontrollordninger er det av vesentlig betydning å etablere betryggende ordninger hva gjelder informasjonssikkerhet og internkontroll, jf. nærmere om dette i kapittel 10.