5 Innholdet i forslaget
5.1 Lagring av biometrisk informasjon i passet
5.1.1 Bakgrunn
Elektronisk lagring av data i passet innebærer at passet skal kunne kommunisere elektronisk med eksternt elektronisk kommunikasjonsutstyr. Bruk av biometrisk personinformasjon lagret elektronisk i passet vil således klart falle inn under det som blir regulert av personopplysningsloven.
Biometrisk personinformasjon vil bli innhentet og lagret utenfor passet i forbindelse med produksjon av passet. Det forutsettes videre at slike data må overføres sammen med passinnehaverens øvrige persondata til eksternt kommunikasjonsutstyr (databaser) i forbindelse med grensekontroll, for automatisert sammenligning og verifisering mot tilsvarende biometrisk informasjon av passinnehaveren som innhentes på stedet (for eksempel via videokamera). Denne lagringen av biometrisk informasjon utenfor passet som er en forutsetning for utstedelsen av passet, og senere for automatisert sammenligning i grensekontrollen, vil imidlertid kunne åpne for nye muligheter for bruk av personinformasjonen utenfor formålet. Her berøres viktige personvernsinteresser. Dette må underkastes særskilt regulering som for eksempel krav om sletting av data når formålet med innsamlingen er oppnådd.
På den annen side vil man som reisende ikke kunne beskytte seg mot at lovgivning og kontrollinstanser i andre land har et annet forhold til løsning av personvernsspørsmål. Allerede i dag er det en realitet at reisende til enkelte land må avgi både ansiktsfoto og fingeravtrykk i grensekontroll ved innreise. Bare internasjonale avtaler kan sikre at bruken av den biometriske informasjonen holdes innenfor bestemte rammer.
5.1.2 Høringsnotatets forslag
I høringsnotatet gikk departementet inn for at innhenting og lagring av biometrisk informasjon om passøker i form av ansiktsfoto (og fingeravtrykk) skulle lagres elektronisk i passet. Gjennom dette ville man møte internasjonale krav på området, samtidig som norske reisende til USA ville ha et tilbud om fortsatt visumfri innreise med pass utstedt etter 26. oktober i år. Det ble lagt til grunn at lagringen av den elektroniske informasjonen skulle skje i henhold til de etablerte internasjonale standarder, med tilhørende krav om blant annet sikkerhet mot manipulering og endring av informasjonen.
I høringsnotatet ble det blant annet uttalt:
«Elektronisk lagring av data i passet innebærer at passet skal kunne kommunisere elektronisk med eksternt kommunikasjonsutstyr. Bruk av biometrisk personinformasjon lagret elektronisk i passet vil således klart falle inn under det som blir regulert av personopplysningsloven.
Helt avgjørende for spørsmålet om å åpne for elektronisk lagring av biometrisk personinformasjon i pass og reisedokumenter, er at dette er et viktig virkemiddel i det internasjonale samarbeidet for bekjempelse av alvorlig grenseoverskridende kriminalitet, blant annet terrorisme. Det vil være utenkelig for Norge å stille seg utenfor det samarbeidet som er etablert. Gjennom deltakelse i de fora som internasjonalt og nasjonalt er premissleverandør på området, vil Norge imidlertid kunne spille en aktiv rolle i utformingen av de rettslige og fysiske rammebetingelser for bruk av biometriske kontrollelementer, blant annet for å ivareta viktige hensyn til personvernet og det enkelte individ som bruker.»
5.1.3 Høringsinstansenes merknader
Datatilsynet har hatt vesentlige innvendinger, blant annet under henvisning til den usikkerhet som fortsatt er til stede med hensyn til standarder som skal ivareta hensynet til personvernet. Det er herunder blant annet pekt på at det ikke foreligger informasjon om hvordan den biometriske personinformasjonen skal sikres, at det ikke foreligger informasjon om lagringsmediets kapasitet, og at det ikke foreligger informasjon om hvordan opplysningenes integritet, ekthet, og fortrolige karakter skal sikres.
Moderniseringsdepartementet har støttet forslaget om en særskilt hjemmel for innhenting og lagring av ansiktsfoto (og fingeravtrykk), men har foreslått en omformulering for så vidt gjelder annen setning i forslaget slik:
«Informasjonen lagres elektronisk eller på annen måte slik at dens integritet, ekthet og konfidensialitet kan garanteres for og ellers være i samsvar med avtaler Norge er bundet av.»
5.1.4 Departementets vurdering
Departementet holder fast ved hovedinnholdet i høringsnotatet, men finner at det bør utdypes for å synliggjøre det som er påpekt av Datatilsynet og Moderniseringsdepartementet. Dette for å understreke behovet for sikkerhet med hensyn til ekthet, integritet og konfidensialitet.
Forslaget fra Moderniseringsdepartementet om å føye til at lagringen i passet skal ivareta «integritet, ekthet og konfidensialitet», er et krav som også blir ivaretatt gjennom de standarder som er etablert og skal benyttes for lagringen. Rådsforordning (EF) nr. 2252/2004 som er folkerettslig forpliktende, inneholder også regler som skal ivareta hensynet til personvernet. Moderniseringsdepartementets forslag når det gjelder kravet om å sikre ekthet og konfidensialitet, blir dessuten ivaretatt gjennom forslaget til krav om sletting, jf. omtalen av dette under pkt. 5.2.
Det tilføyes for øvrig at Datatilsynets innvendinger dels synes å være basert på misforståelser med hensyn til de standarder for lagring av biometrisk informasjon som nå er etablert. Disse standardene tar også hensyn til sikkerhetskravene, og vil på enkelte områder kunne føre til et bedre personvern en ved bruk av nåværende pass, blant annet gjennom en integritetssikring som vil kunne forebygge såkalte identitetstyverier.
Når det gjelder de internasjonale regler Norge vil være bundet av, følger det allerede av passloven § 10 at loven anvendes i samsvar med disse.
5.2 Rett til innsyn i og retting av lagrede biometriske data om seg selv, samt sletting av biometrisk informasjon i ekstern database
5.2.1 Gjeldende rett
Retten til innsyn i opplysninger om en selv, samt krav om retting og sletting av informasjon er i allerede i dag hjemlet i personopplysningsloven. For brukerne av informasjonen, og ikke minst for de personer dette gjelder, vil det være hensiktsmessig at reglene er inntatt sammen med reglene som hjemler bruken av den biometriske informasjonen. Med dette synliggjør man også sammenhengen med folkerettslige avtaler Norge er bundet av.
5.2.2 Høringsnotatets forslag
I høringsnotatet foreslår departementet en egen hjemmel om retten til innsyn i opplysninger om en selv, samt retten til å kreve informasjon rettet eller slettet. Dette er i samsvar med Rådsforordningen (EF) nr. 2252/2004 art. 4, og er for øvrig innenfor rammen av gjeldende norsk rett.
Videre foreslås i høringsnotatet en regel om plikt til å slette den biometriske informasjonen som er innhentet for utstedelse av passet. Slik informasjon vil bli overført til produsent for at den skal lagres elektronisk i passet. Når passet er ferdig personalisert og kontrollert, blir dette overskuddsinformasjon som ikke skal lagres videre i noen database.
Likeledes foreslås i høringsnotatet at den biometriske informasjonen som tas opp på passkontrollsted for å sammenligne passinnehaverens biometri (ansiktsbilde) med tilsvarende biometri lagret i passet, skal slettes etter vellykket verifisering av identiteten.
Ingen av høringsinstansene har hatt merknader til forslaget i høringsnotatet.
5.2.3 Departementets vurdering
Departementet foreslår en regel om rett til innsyn i de biometriske data som er lagret i passet, samt en rett til å kreve disse rettet eller slettet. Videre foreslås at biometriske data innhentet for utstedelse av pass, eller senere ved passkontroll, skal slettes straks formålet er oppnådd. Dette vil for øvrig være i tråd med gjeldende norsk rett på området.
5.3 Fullmakt for Kongen til å bestemme at reglene om biometri i pass som utstedes etter passloven også skal gjelde for pass som utstedes etter lov om utenrikstjenesten (diplomatpass m.m.) og pass som utstedes etter lov om utlendingers adgang til riket og deres opphold her (utlendingspass m.m.)
5.3.1 Gjeldende rett
Passloven gjelder ikke pass utstedt med hjemmel i lov om utenrikstjenesten (diplomatpass, spesialpass og tjenestepass), eller pass utstedt etter lov om utlendingers adgang til riket (utlendingspass).
5.3.2 Høringsforslaget og høringsinstansenes syn
I høringsnotatet foreslås at reglene om å lagre biometrisk informasjon i form av ansiktsfoto også skal omfatte pass utstedt etter lov om utenrikstjenesten og lov om utlendingers adgang til riket. Dette er også i samsvar med ønsker fra Utenriksdepartementet og Kommunal- og regionaldepartementet som administrerer de to nevnte passordninger.
Utenriksdepartementet har i sin høringsuttalelse gitt uttrykk for at hjemmel for bruk av biometri i diplomat-, tjeneste- og spesialpass bør hjemles direkte i loven, under henvisning til at disse passene også omfattes av Rådsforordning (EF) nr. 2252/2004.
Ingen av de øvrige høringsinstanser har hatt merknader til endringer i høringsforslaget.
5.3.3 Departementets vurdering
Departementet foreslår at regelen om at det skal kunne lagres biometrisk personinformasjon i passet i form av ansiktsfoto, også skal kunne gjøres gjeldende for pass som utstedes med hjemmel i henholdsvis lov om utenrikstjenesten og lov om utlendingers adgang til riket, og at Kongen gis fullmakt til å bestemme dette. Departementet finner at dette også vil ivareta et tilstrekkelig hjemmelsgrunnlag i forhold til Norges forpliktelser i forhold til Rådsforordning (EF) nr. 2252/2004 når det gjelder diplomat-, tjeneste- og spesialpass.