7 Departementets vurderinger
Siden departementets forslag ble sendt på høring i mars 2006 har VIS vært behandlet i EU og i Schengen-fellesorganet i ytterligere to år. VIS vil bygge på to separate rettsakter. Den ene rettsakten danner rammen for VIS-systemet på visumområdet (Europaparlaments- og rådsforordning nr. 767/08), mens den andre regulerer tilgangen til VIS for utpekte myndigheter og Europol med henblikk på å hindre, avdekke og etterforske terrorhandlinger og andre alvorlige kriminelle handlinger (Rådsbeslutning nr. 633/08).
Departementet opplyste i høringsbrevet av 2006, at på bakgrunn av beslutning i Rådet den 24.02.05 hadde Kommisjonen utarbeidet et forslag til en rettsakt som gir tilgang til opplysninger i VIS for myndigheter som er ansvarlig for indre sikkerhet og for Europol, med formål å avverge, avdekke og etterforske terrorhandlinger og andre alvorlige kriminelle handlinger. Det ble opplyst at departementet ville komme tilbake til dette når rettsakten var vedtatt. Det ble videre i høringsbrevet gitt uttrykk for at dersom det i EUs sluttførende arbeid med VIS-forordningen skulle vise seg å bli vesentlige endringer i forhold til det som var kjent på tidspunktet for utarbeidelsen av høringsforslaget, ville nytt forslag bli sendt på høring. VIS-forordningen som ble endelig vedtatt i 2008, innebærer ingen vesentlige endringer i forhold til det utkastet til VIS-forordning som forelå på høringstidspunktet. Hva gjelder rådsbeslutning nr. 633/08, så var også formålet og de ytre rammene for sikkerhetsmyndighetenes og Europols tilgang til VIS fastlagt slik det ble omtalt i høringsbrevet, og det har ikke skjedd vesentlige endringer frem til rådsbeslutningen ble endelig vedtatt i 2008. Departementet har på denne bakgrunn funnet at det ikke foreligger grunnlag for å sende forslaget eller deler av det på ny høring, jf utredningsinstruksens pkt. 5.4 c. Høringsinstansene har avgitt grundige høringsuttalelser i relasjon til begge rettsaktene. Med utgangspunkt i høringsinstansenes innspill, har departementet valgt å endre noe på utformingen av lovforslaget.
Departementet foreslår syv bestemmelser om VIS i utlendingsloven, der man synliggjør skillet mellom utlendingsmyndighetenes rolle ved bruk av VIS, og når utpekte myndigheter med formål å avverge, avdekke og etterforske terrorhandlinger og andre alvorlige kriminelle handlinger gis rett til å søke i deler av VIS. Videre foreslår departementet å innta en henvisning til VIS-forordningen i lovteksten, slik at også bakgrunnen for og formålet med VIS fremgår. Behandlingsansvarlig myndighet synliggjøres, og det angis konkret hvilke myndigheter som har tilgang til VIS for hvilke formål. Likeledes foreslås det å innta frister for sletting i lovteksten. Utkastet til lovtekst er således mer omfattende enn det forslaget som ble sendt på høring, men det innebærer ikke materielle endringer i forhold til de rammene som opprinnelig ble foreslått. Departementet har derfor ikke sett behov for en ny høring.
Siden høringsuttalelsene refererer seg til utkastet til VIS-forordning slik det forelå på høringstidspunktet, vil det i dag være noe misforhold mellom høringsinstansenes eventuelle henvisninger til artiklenes nummerering og den endelige nummereringen av artiklene. Dette er det tatt høyde for når uttalelsene er vurdert.
Høringsuttalelsene viser at det er god oppslutning om forslaget. Datatilsynet ser imidlertid enkelte betenkeligheter ved opprettelsen av store internasjonale databaser, og både Datatilsynet og UDI påpeker viktige forhold som bør tydeliggjøres i lovteksten.
Utlendingsdirektoratet (UDI) har for det første merknader til lovstrukturen. Primært ønsker direktoratet at det vedtas en egen VIS-lov, alternativt at det gis flere lovbestemmelser i utlendingsloven vedrørende VIS. Etter departementets syn hører lovhjemling av VIS naturlig hjemme i utlendingsloven. Tematisk sett hører VIS inn under utlendingsfeltet, særlig visumområdet. En egen lov tilsvarende SIS-loven her, vil splitte opp regelverket på et område som bør ses samlet. Som omtalt ovenfor, går departementet vekk fra sitt opprinnelige forslag med én lovhjemmel, og imøtekommer ønsket om flere lovbestemmelser om VIS i utlendingsloven.
Hva angår UDIs merknad om å presisere at også alfanumeriske data (bokstavtekst og tall) skal registreres og utveksles, er dette nå imøtekommet ved departementets omarbeidede lovforslag, jf. forslaget til § 25 d, samt henvisningen til utlendingsloven § 34 a som er inntatt i forslagets § 25 e. Likelydende forslag er gitt i utkast til ny utlendingslov § 102 b jf. § 102 c.
Når det gjelder Datatilsynets påpeking av problemer med feilregistrering og identitetstyveri, og derav behovet for en konsekvensanalyse, ser departementet at dette ikke ble tilstrekkelig redegjort for i høringsbrevet.
Kommisjonen utga i 2004 en omfattende konsekvensanalyse, basert på en underlagsstudie fra EPEC, jf. kapittel 3.3 ovenfor. I departementets vurdering av personvernmessige konsekvenser har vi bl.a. bygget på Kommisjonens og EPECs konsekvensanalyser, der det ble foretatt en kartlegging av problemene i dagens situasjon med bl.a. forfalskning av (reise)dokumenter og «visa-shopping», ulovlig innvandring, indre sikkerhet og terrorisme samt forholdet til bona fide-visumsøkere og -innehavere. Fire alternative løsninger ble vurdert (ikke opprette VIS, opprette et annet innreise-/utreisesystem enn VIS, opprette VIS uten biometri og opprette VIS med biometri). Videre så analysene både på finansielle og praktiske konsekvenser for visumsøkerne, herunder inngripen i sentrale menneskerettigheter og folks privatsfære. Det fremstår klart at VIS vil medføre betydelige finansielle kostnader samt berøre grunnleggende personvernsspørsmål. Ulempene ved inngripen i privatsfæren ble vurdert opp mot fordelene i forhold til effektiv implementering av en felles visumpolitikk, forenkling av Dublin II-forordningen, reduksjon av tilfeller med forfalskning og «visa-shopping», økt effektivitet av grensekontroll, reduksjon av ulovlig migrasjon, bidrag til indre sikkerhet samt den forenkling for bona fidevisumsøkere og -innehavere VIS-systemet vil innebære. Oppsummeringen av disse fordelene og ulempene viste at VIS med biometri vil gi substansiell forbedring på de fleste områder. For å kompensere for de negative konsekvensene, har bl.a. proporsjonalitetsprinsippet og fastlegging av regler for personvern, stått i sterk fokus ved utarbeidelsen av VIS-regelverket. Det vises til at VIS-forordningen i kapittel VI har omfattende regler om rettigheter og overvåking av databeskyttelse.
Opprettelsen av VIS med biometri vil innebære en ny bruk av personopplysninger fra visumsøkere. Hittil har opplysninger om visumsøkere kun blitt behandlet av det landet som behandler søknaden om visum. I VIS skal opplysningene lagres sentralt, slik at samtlige medlemsland i Schengensamarbeidet kan gis tilgang til opplysningene. Opplysningene det er tale om, vil imidlertid i utgangspunktet ikke være av sensitiv art, jf. definisjonen i personopplysningsloven § 2 nr. 8. Kapittel II i VIS-forordningen omhandler visummyndighetenes registrering og bruk av opplysninger. Basisopplysningene som skal registreres hentes fra dagens søknadsformular, dvs. navn, kjønn, fødested, statsborgerskap, passnummer, dato og sted for søknaden, hvilken type visum det søkes om, navn og etternavn på eventuelt referanseperson, hoveddestinasjon for reisen og antatt dato for ankomst og avreise. I tillegg skal biometrisk foto og fingeravtrykk av søker registreres i VIS.
Departementet ser at lagring av slike opplysninger kan oppleves som integritetskrenkende. Det kan opplyses at i tiden som fulgte etter at forslaget her ble sendt på høring, har VIS-forordningen, parallelt med behandlingen i Schengen-fellesorganet, vært til behandling i Europaparlamentet, som har medbestemmelsesrett i denne rettsakten. Parlamentet har hatt særlig fokus på visumsøkeres situasjon generelt og på personvern i særdeleshet. I forhold til det utkastet til VIS-forordning som forelå på høringstidspunktet, er teksten i den endelige VIS-forordningen omfattende bygget ut for å styrke ivaretakelse av søkerens interesser. Både i fortalen og i artiklene vises det til at det til grunn for VIS-forordningen ligger vurderinger av proporsjonalitetsprinsippet, personvern, likebehandling og grunnleggende menneskerettigheter. Kapitlene V og VI, der personvern og datasikkerhet er hovedelementene, er betydelig utvidet i tekst og innhold, for å synliggjøre og sikre at personvern og datasikkerhet ivaretas av samtlige organer og instanser som skal benytte VIS.
Fornyings- og administrasjonsdepartementet (FAD) påpeker i sin høringsuttalelse at risikoen for feilidentifisering er vesentlig mindre når identifikasjonen baseres på flere indikatorer enn kun fingeravtrykk. Departementet bemerker at opplysninger som legges inn i VIS vil være både alfanumerisk data hentet fra søknadsskjemaet, og foto og fingeravtrykk av søker. Slik departementet ser det vil det faktum at det er flere opplysninger om søker registrert i VIS, i sin tur være med på å redusere faren for feilidentifikasjon.
Departementet har videre sett på formålet med opprettelsen av VIS, og muligheten for at opplysningene kan bli brukt til andre formål. Departementet har sett hen til at formålet med VIS er å styrke den felles visumpolitikken og det konsulære samarbeid i Schengen, forhindre svindel, forenkle grensekontrollen, forenkle identifikasjon av personer som ikke fyller vilkårene for innreise eller opphold i et medlemsland, forenkle anvendelsen av Dublin II-forordningen samt bidra til å avverge trusler mot medlemslandenes indre sikkerhet, jf. VIS-forordningens artikkel 2. Departementet finner på denne bakgrunn at opprettelsen av VIS med lagring av biometriske kjennetegn er et nødvendig og forholdsmessig tiltak. Vi legger også vekt på at forordningen setter tydelige rammer for hvilke myndigheter som har tilgang til VIS for registrering, endring, sletting og lesing av opplysninger. En liste over autoriserte myndigheter, hvor det beskrives hvilket formål vedkommende myndighet har tilgang til VIS for, skal meddeles Kommisjonen, jf. VIS-forordningens artikkel 6. Det er således en streng kontroll mht. at VIS utelukkende benyttes for de formål som er spesifisert i forordningen.
Det europeiske databeskyttelsesregelverket, jf. direktiv nr. 46/1995 (personverndirektivet) og forordning nr. 45/2001, får full anvendelse for VIS-systemet og bruken av VIS. Personvernets betydning fremheves uttrykkelig i forordningen ved omfattende henvisninger til dette både i fortale og i de enkelte artiklene. Personopplysningsloven gjennomfører personverndirektivet i norsk rett. Henvisningen til personopplysningsloven i utkast til § 25 b (utkast til § 102 i utlendingslov 2008) sikrer således at direktivets regler om personvern etterleves.
Det følger av VIS-forordningen at søker skal få informasjon om hvilken myndighet som er registreringsansvarlig, formålene med å behandle opplysningene i VIS, hvem som er mottaker av opplysningene, at registreringen av opplysningene er obligatorisk, og at søker har rett til innsyn og til eventuelt å foreta retting av opplysningene. I norsk lovgivning er rett til innsyn og informasjonsplikt hjemlet i personopplysningsloven kapittel III. I og med at personopplysningsloven vil gjelde for behandling av opplysninger i VIS, ser vi ikke behov for å gjenta personopplysningslovens bestemmelser om dette i lovforslaget om VIS, jf. høringsuttalelser fra INLO og Advokatforeningen. Det vil imidlertid være behov for utfyllende forskriftsregulering.
Ifølge VIS-forordningen skal nasjonal tilsynsmyndighet for personvern utpekes og meldes til Kommisjonen. Den nasjonale tilsynsmyndigheten skal samarbeide med det europeiske databeskyttelsestilsynet, European Data Protection Supervisor (EDPS), som er opprettet i medhold av forordning nr. 45/2001 om sikring av koordinert tilsyn med VIS og nasjonale systemer. Departementet tiltrer Datatilsynets vurdering av behovet for å lovfeste hvem som skal ha nasjonalt ansvar for behandling av opplysningene i VIS. Det sies derfor uttrykkelig i § 25 f (utkast til § 102 i utlendingslov 2008) at Datatilsynet er nasjonal tilsynsmyndighet. Videre er det presisert at UDI er behandlingsansvarlig for den norske delen av VIS, NORVIS.
Opprettelsen av VIS innebærer at data om visum skal kunne utveksles Schengenlandene imellom. Når det gjelder utveksling av personopplysninger med utenlandske myndigheter, sier personopplysningsloven § 29 at personopplysninger bare kan overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført EUs personverndirektiv anses å oppfylle kravet til forsvarlig behandling.
Departementet anser at lovhjemmelen bør angi hvilke former for biometriske data VIS omhandler. Det er riktig som UDI skriver, at med dagens teknologiske utvikling kan andre former for biometriske data i fremtiden bli aktuelle som personlige kjennetegn. Departementet finner imidlertid at opptak av biometriske data er av slik viktighet for personene det gjelder at det bør fremgå av lovbestemmelsen hvilke biometriske data det er tale om.
Datatilsynet fraråder registrering av biometri av barn. Departementet kan i denne forbindelse opplyse at registrering av fingeravtrykk av barn bl.a. er til hjelp i bekjempelse av handel med barn og kidnapping. Aldersgrensen for når man skal begynne opptak av biometri av barn er ikke regulert i selve VIS-forordningen, men vil bli regulert i egen rettsakt som hjemler tilføyelser i Den Felles Konsulære Instruks, som er visumsamarbeidets praktiske regelverk. Spørsmålet om aldersgrensen har vært til grundig diskusjon innenfor EU og i Schengen-samarbeidet.
Medlemslandene har vært i favør av seks år som nedre grense, mens EU-parlamentet mener nedre grense bør settes til 12 år. Høsten 2008 ble det politisk enighet om en aldersgrense på 12 år, fra hvilken det skal registreres fingeravtrykk. Disse bestemmelsene vil bli formelt vedtatt innen VIS startes opp. Aldersgrensen vil bli implementert i norsk utlendingsforskrift med hjemmel i dette lovforslagets § 25 h, b, jf. likelydende forslag til § 102 f jf. § 102.
Uavhengig av nedre aldersgrense for registrering av fingeravtrykk, er det viktig å holde fast ved at en av grunnforutsetningene for VIS er at det så langt som mulig skal registreres biometrisk personinformasjon i form av ansiktsfoto og fingeravtrykk av visumsøkere. Kun i tilfeller der dette ikke er mulig, skal det gjøres unntak. Dette sikrer VIS-systemets effektivitet og formål, både mht. å kunne gjenbruke registrerte data for en viss periode, og således spare visumsøkerne fra å oppsøke utenriksstasjonene i forbindelse med ny søknad på et senere tidspunkt, og mht. å kunne oppnå de øvrige målene for VIS. Når det gjelder barn, vil departementet videre påpeke at registrering av biometriske data vil være til stor hjelp i arbeidet med å hindre barnekidnapping og handel med barn.
Hva angår merknad fra Tunsberg biskop vedrørende fordyrende søknadsprosesser og gebyrer, kan departementet opplyse at innføring av et system som VIS for mange vil innebære en forenkling i forhold til dagens system. Ved at fingeravtrykk som er lagret i VIS skal gjenbrukes ved fremtidige søknader om visum, vil ikke søker behøve å møte personlig ved utenriksstasjonen ved neste gangs søknad. Når det gjelder uttalelsen angående opptak av biometriske data og frykten for at dette kan forsterke negative holdninger til utlendinger, viser vi til at den økende internasjonale reisevirksomheten i vår samtid har ført med seg økt behov for sikker identifisering av alle personer, ikke bare utlendinger. Fingeravtrykk er en slik identifikator for alle personer. I rådsforordning nr. 2252/04 er det vedtatt at utstedelse av pass til landenes egne borgere fra sommeren 2009 skal inneholde fingeravtrykk. Også Norge er omfattet av denne rettsakten, jf. omtalen under kapittel 4.2 om ny passlov.
Til Politiets Sikkerhetstjenestes (PST) bemerkning om at de forutsetter at PST som ansvarlig for indre sikkerhet i Norge gis tilgang til VIS, bemerker departementet at det tas sikte på at PST og KRIPOS gis slik tilgang ut fra sine respektive mandater. I disse organene skal bare særskilt utpekte tjenestemenn i spesielle enheter få tilgang. Hva angår Europols tilgang til opplysninger i VIS, forutsettes det at Europol ikke skal søke direkte i den nasjonale VIS-basen (NORVIS), men kun i den sentrale basen. Av den grunn anses det ikke nødvendig eller formålstjenelig å regulere i norsk lov hvilken rett Europol har til å søke i VIS.
Politidirektoratet uttaler at det er av sentral betydning for politiet på hvilken måte sikkerhets- og politimyndigheter gis adgang til opplysninger i VIS. Departementet bemerker at denne vurdering må tas i forbindelse med den tekniske utviklingen av den nasjonale delen av VIS (NORVIS), og er således ikke gjenstand for regulering i loven her.
Hver visumsøknad skal lagres i VIS i maksimalt fem år, beregnet fra datoen for utløpet av innvilget visum, innsendt visumsøknad eller beslutning om å nekte visum, jf. VIS-forordningen artikkel 23. Dette er også inntatt i forslaget til § 25 e (§ 102 c). Dersom en visumsøker som er registrert i VIS blir statsborger av et medlemsland før femårs perioden er utløpt, skal opplysningene om vedkommende slettes fra VIS. Det er kun det landet som har lagt inn opplysningene i VIS (»ansvarlig medlemsstat») som har rett til å gjøre endringer i de innlagte opplysningene, jf. lovutkastet § 25 e (§ 102 c).
Foruten opplysninger som Norge på egne vegne legger inn i VIS, vil VIS inneholde opplysninger lagt inn av samtlige andre Schengenland. Innlegging og endring av opplysninger foretas av det ansvarlige Schengenland, og slettingen foretas automatisk i VIS-basen i Strasbourg etter fem år. De registeransvarlige i de enkelte Schengen-land har ikke herredømme over registrerte opplysninger etter at de er slettet i VIS. Departementet viser i denne sammenheng til vurderingen som ble gjort ved opprettelsen av SIS-registeret ved Norges tiltredelse til Schengensamarbeidet, jf. Ot.prp. nr. 56 (1998-99) kap. 6.4.9. På samme måte som for SIS-registeret, kan VIS-registeret ikke sies å falle inn under arkivlovens arkivbegrep og gyldighetsområde, og arkivloven anses ikke å gjelde for VIS-regelverket og de opplysninger som registreres i VIS.