6 Endringer i SIS-loven
SIS-loven er ikke delt inn i kapitler. Departementet foreslår at loven deles inn i kapitler for å skape bedre oversikt.
6.1 Kapittel 1: Generelle bestemmelser
6.1.1 Forslaget i høringsnotatet
Forslaget til kapittel 1 omhandler gjennomføring av EUs forordninger om SIS (§ 1), definisjonen av SIS og ansvaret for SIRENE-kontoret (§ 2), samt lovens geografiske virkeområde (§ 3).
Forslaget til § 1 er ny og gir de tre rettsaktene som nå utgjør regelverket for SIS status som norsk lov. Dette innebærer at bestemmelsene i rettsaktene vil gjelde fullt ut med de tilpasninger som fremgår av SIS-loven.
Forslaget til § 2 første ledd er en videreføring av gjeldende § 1 annet ledd, som definerer SIS-systemet. Forslaget til § 2 annet ledd er en videreføring av gjeldende § 2 første punktum, hvoretter SIRENE-kontoret fortsatt skal ligge hos Kripos. SIRENE-kontoret utfører de oppgaver som tilligger de nasjonale kontaktpunktene for SIS-systemet, herunder å utveksle supplerende opplysninger.
Gjeldende § 1 inneholder også en formålsbestemmelse i første ledd, hvoretter formålet med SIS-loven er å regulere behandlingen i Norge av opplysninger innenfor SIS, herunder å ivareta hensynet til personvernet. Etter forslaget vil SIS-loven, i motsetning til etter gjeldende rett, ikke lenger inneholde egne regler om behandling av opplysninger, men vil i all hovedsak vise til andre regler som kommer til anvendelse. På denne bakgrunn er formuleringen i gjeldende § 1 første ledd mindre treffende og foreslås ikke videreført. Departementet vil imidlertid understreke at dette ikke innebærer noen realitetsendring eller svekkelse av personvernet, jf. omtalen i punkt 5.1.
Forslaget til § 3 om lovens geografiske virkeområde er en videreføring av gjeldende § 26, siden SIS-loven fortsatt ikke gjelder for Svalbard.
6.1.2 Høringsinstansenes syn
Høringsinstansene som har uttalt seg om forslaget til § 1 om inkorporasjon av rettsaktene, støtter forslaget selv om dette fører til mindre brukervennlighet. Noen av høringsinstansene foreslår i denne sammenheng at det kan brukes en kortform for de ulike rettsaktene når det i loven vises til bestemmelsens § 1 nr. 1, 2 eller 3.
Politidirektoratet og Kripos anfører at beskrivelsen av SIRENE-kontoret i forslaget til § 2 annet ledd ikke er korrekt, med henvisning til at ansvaret for den nasjonale delen av SIS er plassert hos Politiets IKT-tjenester, mens SIRENE-kontoret er nasjonalt kontaktpunkt for utveksling av supplerende opplysninger.
6.1.3 Departementets vurdering
Departementet er enig i at de tre rettsaktene bør gis en kortform når det i lovens bestemmelser vises til rettsaktene som nevnt i § 1 nr. 1, 2 og 3. Det foreslås at rettsaktene betegnes som henholdsvis politisamarbeidsforordningen, grensekontrollforordningen og returforordningen. I tillegg har departementet rettet ordlyden i § 2 i samsvar med Politidirektoratets merknad om ansvaret for SIRENE-kontoret. Utover dette har departementet av eget tiltak fjernet forslaget til § 2 annet punktum der det ble foreslått å lovfeste at SIS består av et sentralt system som de nasjonale systemer kommuniserer med. Begrunnelsen for dette er at bestemmelsen ikke er helt treffende siden ikke alle medlemsstater, herunder Norge, har et nasjonalt system, og at disse i stedet søker direkte i det sentrale systemet.
6.2 Kapittel 2: Behandlingsansvar, informasjonssikkerhet og internkontroll
6.2.1 Forslaget i høringsnotatet
Forslaget til kapittel 2 omhandler behandlingsansvar (§ 4), informasjonssikkerhet (§ 5) og internkontroll (§ 6).
Forslaget til § 4 første ledd er en videreføring av gjeldende § 2 tredje punktum, hvoretter Kripos er ansvarlig for behandling av opplysninger i SIS. Siden rettsakten som nevnt i forslaget til § 1 nr. 3 (retur) legger opp til at også utlendingsmyndighetene kan registrere opplysninger i SIS, er det nødvendig å dele behandlingsansvaret for SIS. Som følge av dette foreslås det i § 4 annet ledd at det er Utlendingsdirektoratet (UDI) som er behandlingsansvarlig for behandling av opplysninger i henhold til rettsakten som nevnt i § 1 nr. 3 om tilbakesending av tredjestatsborgere med ulovlig opphold. Det vil derfor også være nødvendig at Kripos og Utlendingsdirektoratet inngår en avtale om delt behandlingsansvar for å klargjøre hvem som har ansvar for hva.
Forslagene til §§ 5 og 6 om informasjonssikkerhet og internkontroll er en videreføring av gjeldende §§ 3 og 4, og medfører ingen realitetsendringer.
6.2.2 Høringsinstansenes syn
Utlendingsdirektoratet(UDI) støtter forslaget om at behandlingsansvaret må være delt og ikke felles, slik det omtales i personvernforordningen artikkel 26. UDI mener imidlertid at dersom UDI får behandlingsansvaret for opplysninger i henhold til rettsakten nevnt i forslaget til § 1 nr. 3, bør det samtidig vurderes om UDI også bør overta behandlingsansvaret etter forordning (EU) 2018/1861 artikkel 24. Det vises til at registrering av opplysninger om innreiseforbud som nevnt i artikkel 24 nr. 1 er en direkte følge av manglende overholdelse av returvedtak registrert i SIS. Disse vil nå kobles tett opp mot returvedtakene ettersom innreiseforbud ikke kan meldes inn i SIS før retur er dokumentert. Det vises også til at det kun er UDI som har kompetanse til å fatte vedtak om utvisning, og at det derfor er unaturlig å skille behandlingsansvaret her. Politidirektoratet (POD) og Kripos gir uttrykk for det samme hva gjelder ansvaret for registrering av vedtak etter artikkel 24.
Politidirektoratet(POD) mener delt behandlingsansvar vil medføre utfordringer for databehandler og to sett med regelverk å forholde seg til. POD bemerker videre at hvilken tilnærming norske myndigheter skal ha til registrering av de aktuelle vedtakene ikke er klart, sett hen til at politiet har flere ulike oppgaver på utlendingsfeltet, herunder bortvisninger, og at Politiets utlendingsenhet har oppgaver knyttet til retur og tvangsretur. Det bemerkes at spørsmålet om behandlingsansvar må sees i lys av at ulike deler av politiet kan ha oppgaver som medfører at det skal registreres opplysninger.
Kripos støtter forslaget om delt behandlingsansvar, men påpeker at en fordeling av behandlingsansvar mellom Kripos og UDI fordrer en klar ansvarsfordeling mellom partene, og skaper behov for nærmere føringer. Det påpekes at det er særlig behov for en avklaring av innslagspunkt for den registrerte med hensyn til innsynsbegjæringer, retting, sletting, erstatning og hvem tilsynsmyndigheten skal forholde seg til.
Politiets utlendingenhet (PU) bemerker at det uansett må være slik at det organ som er vedtaksmyndighet, og som gjennom dette initierer en melding i SIS, må være ansvarlig for at meldingen er korrekt, oppdatert og i tråd med formålet. PU mener departementet bør vurdere om disse spørsmålene bør reguleres nærmere i forskrift til SIS-loven.
Utlendingsnemnda(UNE) støtter forslaget om delt behandlingsansvar i § 4, men bemerker at det er uklart om det utelukkende er UDI som skal foreta de aktuelle registreringer, eller om dette også er noen av de øvrige utlendingsmyndighetene, inkludert UNE, som kan foreta slike registreringer. UNE ber derfor om at de praktiske forholdene rundt de ulike utlendingsmyndighetenes roller og oppgaver tydeliggjøres, for eksempel ved forskriftsregulering eller på annen egnet måte.
6.2.3 Departementets vurdering
Departementet finner grunn til å understreke at forlaget til § 4 om delt behandlingsansvar ikke er ment som en uttømmende regulering av hvordan ansvaret i praksis skal forvaltes. Som det fremgår av høringsnotatet vil det være nødvendig at de behandlingsansvarlige inngår en avtale der flere av høringsinstansenes spørsmål må finne sin avklaring, noe som også er den vanlige fremgangsmåten ved delt behandlingsansvar. I tillegg vil den nærmere reguleringen av hvem som registrerer hvilke vedtak med videre kunne avklares enten i rundskriv eller forskrift. Departementet er enig i at behandlingsansvaret for registreringer etter artikkel 24 i rettsakten om grensekontroll krever nærmere avklaring. Departementet finner det imidlertid ikke hensiktsmessig å regulere dette i loven. Det foreslås derfor å nevne reguleringen av behandlingsansvaret uttrykkelig i forskriftshjemmelen i § 23, for derved å tydeliggjøre at § 4 er hovedregelen, som kan fravikes i forskriften.
Utover dette foreslår departementet av eget tiltak at bestemmelsene om informasjonssikkerhet og internkontroll i §§ 5 og 6 gis en annen utforming enn hva som var foreslått i høringsnotatet. I høringsnotatet ble det foreslått å videreføre ordlyden i gjeldende §§ 3 og 4. Departementet foreslår at det også i disse bestemmelsene sondres mellom behandlingen av opplysninger i medhold av de ulike rettsaktene, slik at det nå fremgår hvilke behandlinger som styres av henholdsvis politiregisterloven og personopplysningsloven. Endringen medfører ingen realitetsendringer.
6.3 Kapittel 3: Behandling av opplysninger
6.3.1 Forslaget i høringsnotatet
Forslaget til kapittel 3 omhandler opplysninger som kan behandles (§ 7), vilkår for å behandle opplysninger om personer og gjenstander (§ 8), kobling mellom meldinger (§ 9), behandling av opplysningene til andre formål (§ 10) og utveksling av supplerende opplysninger som ikke formidles via SIS (§ 11).
Forslaget til §§ 7 og 8 erstatter gjeldende §§ 5 til 9. I gjeldende §§ 5 til 9 er det gitt en opplisting av hvilke personer og gjenstander som kan registreres og hva som er vilkårene for de ulike registreringene. Forslagene til §§ 7 og 8 er i stor grad en videreføring av gjeldende rett, men dette gjøres nå ved at det vises til artiklene i de tre rettsaktene som omhandler hvilke personer og gjenstander som kan registreres og hva som er vilkårene for dette. Henvisningene innebærer imidlertid også realitetsendringer, idet det vil bli adgang til å registrere flere opplysninger enn etter gjeldende rett.
De mest sentrale endringene er følgende:
Forordning (EU) 2018/1862 (politisamarbeid)
Etter gjeldende rett kan det registreres personer som er savnet eller som av hensyn til sin egen sikkerhet eller for å forebygge farer må bringes i midlertidig forvaring, jf. SIS-loven § 7 nr. 3. Denne regelen er videreført i artikkel 32, men som noe nytt kan det nå også registreres DNA-opplysninger med henblikk på identifisering, se artikkel 42 nr. 3 og artikkel 20 nr. 3 bokstav x. Videre er kretsen av personer i artikkel 32 utvidet til også å omfatte savnede personer som ikke må bringes i midlertidig forvaring, og mindreårige som står i fare for å bli bortført og som må hindres i å reise. Det kan også legges inn meldinger på barn som må hindres i å reise fordi de løper risiko for å bli ofre for menneskehandel eller tvangsekteskap, kvinnelig kjønnslemlestelse eller andre former for kjønnsbasert vold, blir ofre for eller involvert i terrorhandlinger eller blir innkalt til eller deltar i væpnede grupper eller blir tvunget til aktiv deltakelse i fiendtligheter. Videre kan det legges inn meldinger på sårbare myndige personer som må bli hindret fra å reise fordi de risikerer å bli ofre for menneskehandel eller kjønnsbasert vold.
Artikkel 20 omhandler hvilke opplysningskategorier som kan registreres. Etter gjeldende rett kan det registreres om en person er bevæpnet, voldelig eller har rømt, jf. SIS-loven § 6 første ledd bokstav a. Nytt er at det nå også kan registreres om personen er forsvunnet, er suicidal, utgjør en fare for folkehelsen eller deltar i terrorrelaterte aktiviteter, se artikkel 20 nr. 3 bokstav j. Etter bokstav w kan det i tillegg til fotografier som noe nytt nå også registreres ansiktsbilder som kan brukes til biometrisk sammenligning.
Etter gjeldende rett kan det etter SIS-loven § 8 registreres opplysninger om personer med henblikk på observasjon eller målrettet kontroll for å bekjempe kriminalitet eller forebygge trusler. Denne ordningen videreføres i artikkel 36, men som noe nytt er det også åpnet for å anmode om «undersøkelseskontroll», som går ut på en samtale med personen hvor det søkes svar på spørsmål som er lagt inn av den anmodende medlemsstaten.
Artikkel 40 omhandler meldinger om ukjente etterlyste personer med sikte på identifisering i henhold til nasjonal rett. Dette er en ny kategori meldinger som gir adgang til å registrere fingeravtrykk eller håndflateavtrykk som er funnet under etterforsking på åsteder for terrorhandlinger eller annen alvorlig kriminalitet. Avtrykkene kan kun registreres dersom det med svært stor sannsynlighet kan fastslås at de tilhører en mistenkt gjerningsperson.
Utover dette kan det etter artikkel 38 registreres flere gjenstander enn i dag, som for eksempel motorer til luftfartøy, IT-utstyr, identifiserbare enkeltdeler til industrielt utstyr og identifiserbare gjenstander av høy verdi.
Forordning (EU) 2018/1861(grensekontroll)
Formålet med rettsakten er inn- og utreisekontroll, og rettsakten inneholder ikke noe vesentlig nytt når det gjelder hvilke meldinger som kan registreres, jf. artikkel 24, 25 og 26. Hvilke opplysningskategorier som kan registreres er regulert i artikkel 20. Det som er nytt er sammenfallende med hva som er gjort rede for i forordning (EU) 2018/1862 (politisamarbeid) ovenfor, med unntak av adgangen til å registrere DNA-opplysninger.
Forordning (EU) 2018/1860 (retur)
Forordning (EU) 2018/1860 representerer noe nytt, og som følge av dette er det også nytt at det kan registreres vedtak knyttet til tilbakesending, jf. redegjørelsen i punkt 2.4.
Forslaget til § 9 er en videreføring av gjeldende § 9 a. Muligheten til å kunne koble forskjellige typer meldinger gjør at myndighetene kan bli oppmerksomme på at det finnes flere meldinger som har tilknytning til samme sakskompleks. Etter § 9 a kan koblinger bare finne sted dersom det er et klart operativt behov. Videre medfører koblinger ingen endringer med hensyn til slettefrister eller tilgangsrettighetene for de enkelte meldingene. Forslaget medfører ingen realitetsendringer siden artiklene i de tre rettsaktene det nå vises til gir uttrykk for den samme regelen, med den presisering at koblinger «skal» opprettes når det er et klart operativt behov.
Forslaget til § 10 om behandling av opplysninger til andre formål er en videreføring av gjeldende § 10. Hovedregelen er fortsatt at opplysninger ikke kan behandles til andre formål enn de som er fastsatt for den enkelte registrering. Etter gjeldende § 10 kan opplysninger bare behandles til et annet formål dersom det er nødvendig for å forebygge en overhengende fare for den offentlige orden og sikkerhet, en alvorlig trussel mot rikets sikkerhet eller en alvorlig straffbar handling. Endringen medfører ingen realitetsendringer siden de artiklene i de tre rettsaktene det nå vises til gir uttrykk for de samme vilkårene.
Forslaget til § 11 om utveksling av supplerende opplysninger er en videreføring av gjeldende § 11 og medfører ingen realitetsendringer. I tillegg til at det igjen vises til de aktuelle artiklene i de tre rettsaktene, er det også nødvendig å gi anvisning på hvilke personvernregler som gjelder for behandlingen av de supplerende opplysningene. Forslaget til § 11 tredje ledd om sletting av supplerende opplysninger er en videreføring av gjeldende § 20 syvende ledd ved at det vises til de aktuelle artiklene i de tre rettsaktene, som gir nærmere anvisning på slettefristene.
6.3.2 Høringsinstansenes syn
Politidirektoratet(POD) og Kripos mener at det bør fremgå av § 8 at registrering skal skje i henhold til innmeldende lands nasjonale rett, jf. for eksempel politisamarbeidsforordningen artikkel 36. Det vises til at dette vil tydeliggjøre at det finnes bakenforliggende regler i nasjonal rett om beslutninger som må være fulgt før registrering i SIS kan skje. Det foreslås derfor å lovfeste at «registreringen av opplysninger i SIS må være besluttet av kompetent myndighet». POD bemerker videre at siden det legges opp til delt behandlingsansvar mellom UDI og Kripos, bør det klart fremgå av § 11 at utveksling «skal» foretas via SIRENE-kontoret, og at dette er noe grensekontrollforordningen artikkel 7, returforordningen artikkel 5 og politisamarbeidsforordningen artikkel 7 nr. 2 legger opp til.
POD ber også departementet vurdere om det er riktig at alle behandlinger i medhold av grensekontrollforordningen og returforordningen skal reguleres av personopplysningsloven, all den tid grensekontrollforordningen artikkel 51, med henvisning til artikkel 34, jf. artikkel 8, henviser både til personvernregelverket og til politiregisterlovgivningen avhengig av hvilken myndighet som søker i SIS og for hvilke formål. Politiets utlendingsenhet har i den sammenheng påpekt at arbeidet med identifisering og retur av utlendinger omfattes av politiregisterloven, jf. politiregisterforskriften § 56-4, sml. § 1-3 nr. 3, og ikke personopplysningsloven.
6.3.3 Departementets vurdering
Departementet er enig i PODs anførsel om at det bør fremgå av § 8 at registreringen av en opplysning i SIS forutsetter en beslutning fra kompetent myndighet, og foreslår at dette tas inn som nytt tredje ledd i forslaget til § 8. Departementet er videre enig i at begrepet «kan» erstattes med «skal» i forslaget til § 11 første ledd.
Når det gjelder spørsmålet om hvilke personvernregler som skal gjelde i forbindelse med utveksling av supplerende opplysninger, ser departementet at det er behov for å foreta justeringer. Forslaget til § 11 annet ledd i høringsnotatet gikk ut på at utveksling av supplerende opplysninger etter rettsakten om politisamarbeid reguleres av politiregisterloven, mens utveksling av supplerende opplysninger etter rettsaktene om grensekontroll og retur reguleres av personopplysningsloven. Begrunnelsen for dette er at behandling av opplysninger i tilknytning til grensekontroll eller utlendingsforvaltning er forvaltningsoppgaver som sorterer under personvernforordningen. Dette gjelder også dersom politiet behandler opplysninger i forbindelse med forvaltningsoppgaver. Det er riktig som POD påpeker at artikkel 51 nr. 2 i rettsakten om grensekontroll viser til både personvernforordningen og personverndirektivet, men sistnevnte skal bare anvendes dersom formålet med behandlingen er kriminalitetsbekjempelse.
Som nevnt har politiet i Norge både politimessige og forvaltningsmessige oppgaver, og normalt er det ikke vanskelig å trekke et skille mellom disse to virksomheter med henblikk på hvilke personvernregler som kommer til anvendelse. Problemet som i denne sammenheng oppstår er at man i Norge har valgt å regulere både grense- og territorialkontrollregisteret (GTK) og politiets utlendingsregister (UTSYS) etter politiregisterlovens regler. Begrunnelsen for dette er at både grenseloven og utlendingsloven i tillegg til forvaltningsmessige formål også har kriminalitetsbekjempelse som formål. Siden det ikke var hensiktsmessig at politiet måtte forholde seg til både personopplysningsloven og politiregisterloven for behandling av opplysninger i samme register, ble både GTK og UTSYS hjemlet i henholdsvis kapittel 55 og 56 i politiregisterforskriften. Som følge av dette vil behandlingen av opplysninger i disse registrene – herunder når de utveksles etter SIS-loven § 11 – reguleres av politiregisterloven. For å ta høyde for disse tilfellene foreslås det derfor at det i § 11 annet ledd annet punktum gjøres unntak for de opplysninger som i Norge reguleres av politiregisterloven med tilhørende forskrift.
6.4 Kapittel 4: Tilgang, utlevering og taushetsplikt
6.4.1 Forslaget i høringsnotatet
Forslaget til kapittel 4 omhandler tilgang til SIS og bemyndigelse (§ 12), utlevering av opplysninger fra SIS (§ 13) og taushetsplikt (§ 14).
Forslaget til § 12 om tilgang til SIS er en videreføring av gjeldende § 12, men er utvidet i samsvar med den tilsvarende utvidelsen av myndigheter og formål i de tre rettsaktene. Nytt er at myndigheter som har ansvar for å utstede registreringsbevis eller for å sikre trafikkstyring for båter og luftfartøyer kan gis tilgang til SIS, se forslaget til § 12 nr. 5. Tilgangen er etter artikkel 46 i rettsakten som nevnt i § 1 nr. 1 (politisamarbeid) begrenset til opplysninger om båter, båtmotorer, luftfartøyer og flymotorer. Tilgangen er videre bare tillatt dersom formålet er å undersøke om de nevnte gjenstandene er stjålet, urettmessig tilegnet, forsvunnet eller etterlyst i en straffesak. Nytt er også at myndigheter med ansvar for utstedelse av løyve og for registrering av våpen etter artikkel 47 kan gis tilgang til SIS for å undersøke om personen som ber om løyve eller registrering er etterlyst, se forslaget til § 12 nr. 6. Endelig er det også nytt at rettsakten som nevnt i forslaget til § 1 nr. 2 (grensekontroll) artikkel 34 nr. 2 åpner for at man i nasjonal rett kan bestemme at utlendingsmyndighetene også kan ha tilgang til SIS i forbindelse med søknader om statsborgerskap. Departementet mener at SIS-loven bør åpne for denne muligheten, idet registrerte opplysninger i SIS kan være like viktige i forbindelse med søknader om statsborgerskap som i forbindelse med oppholdstillatelser, se forslaget til § 12 nr. 3 bokstav b.
Forslaget til § 13 om utlevering av opplysninger fra SIS er en videreføring av gjeldende § 13. De myndighetene som kan få tilgang til SIS må også kunne få utlevert de angjeldende opplysningene, slik at tilføyelsene i § 12 gjenspeiler seg i § 13. I tillegg til dette er det nødvendig å åpne for at myndigheter med oppgaver knyttet til sårbare personer som må bli hindret i å reise, jf. artikkel 32 i rettsakten som nevnt i forslaget til § 1 nr. 1 (politisamarbeid), kan få utlevert opplysninger fra SIS for derved å kunne vurdere eventuelle tiltak, se forslag til § 13 nr. 8. Departementet vil vurdere om det i forskriften til SIS-loven skal gis nærmere retningslinjer om hvilke myndigheter som kan være aktuelle mottakere av slike opplysninger.
Forslaget til § 14 om taushetsplikt er en videreføring av gjeldende § 14, men det er nå tilføyd at taushetsplikten også gjelder etter at vedkommende har avsluttet tjenesten eller arbeidet.
6.4.2 Høringsinstansenes syn
Politidirektoratet (POD), Utlendingsdirektoratet (UDI), Utlendingsnemnda (UNE) og Politiets utlendingsenhet støtter forslaget til § 12 nr. 3 bokstav b om tilgang for utlendingsmyndighetene til SIS i forbindelse med søknad om statsborgerskap, og forslaget om at myndigheter med ansvar for utstedelse av løyve for registrering av våpen kan gis tilgang til SIS.
POD mener også at Kystvakten, når de utfører grensekontroll på vegne av politiet, bør innlemmes i reguleringen av myndigheter som kan gis tilgang til SIS. POD mener til slutt at det bør presiseres hvilke myndigheter som omfattes av forslaget til § 13 nr. 8.
UDI bemerker at de ikke har praksis for å bruke SIS på den måten departementet beskriver i omtalen av forslaget til § 13, og den utvidede kretsen av personer i politisamarbeidsforordningen artikkel 32. UDI bemerker at det er behov for nærmere retningslinjer dersom departementet mener at UDI skal melde inn personer etter denne forordningen.
Tolldirektoratet (TOD) er positiv til at det åpnes for direkte søk for Tolletaten i SIS. TOD oppfatter forslaget dithen at etaten får en rett, men ikke en plikt, til å søke i SIS. TOD mener imidlertid at SIS-loven med fordel kan utdype hva tilgangen til de respektive nasjonale myndighetene innebærer, da det ikke fremgår av SIS-loven, og er vanskelig tilgjengelig gjennom forordning (EU) 2018/1862. TOD etterspør også en avklaring av om etaten også skal kunne søke mot personer i den grad de er registrert for grensekontrollformål i henhold til forordningene 2018/1860 og 2018/1861. TOD mener videre at hvis det som følge av nasjonal kompetansedeling mellom politiet og Tolletaten ligger en begrensning i etatens mulighet til å søke mot personer i SIS, bør denne fremgå av bestemmelsen.
Redningsselskapet legger til grunn at tjenester som ytes av Redningsselskapet gjennom Småbåtregisteret er «services» omfattet av artikkel 46 nr. 1 i forordning (EU) 2018/1862, og at tjenestene i Småbåtregisteret må regnes som «government services» etter artikkel 46 nr. 2, som gir Redningsselskapet direkte tilgang til informasjon i SIS.
Barne-, ungdoms-, og familiedirektoratet (Bufdir) bemerker at det er tale om en vid formulering i den foreslåtte ordlyden i § 13 første ledd nr. 8. På bakgrunn av den vide ordlyden bør det etter direktoratets syn reguleres nærmere i forskrift for å tydeliggjøre hvilke myndigheter som skal kunne få tilgang til slike opplysninger og for å begrense adgangen til utlevering.
6.4.3 Departementets vurdering
Som det fremgår av punkt 6.4.1, er forslagene til §§ 12 og 13 i det alt vesentlige en videreføring av gjeldende §§ 12 og 13 med de utvidelsene de nye tre rettsaktene legger opp til. Det er således ikke anledning til å åpne for tilgang eller utlevering til andre aktører, slik Redningsselskapet synes å legge til grunn. Departementet er derimot enig med POD i at Kystvakten kan få tilgang til SIS. Kystvakten kan utføre generell grensekontroll der person- og reisedokumentasjon kontrolleres mot ulike systemer.
Når det gjelder TODs merknad om at det bør fremgå hvilke opplysninger det kan søkes i, bemerkes det at det heller ikke i de gjeldende bestemmelsene er gitt en detaljert beskrivelse av hvilke opplysninger det kan gis tilgang til eller som kan utleveres.
Rammene for tilgang og utlevering fremgår av henvisningene til artiklene i de ulike rettsaktene. Videre fremgår det av forslaget til § 12 siste ledd at brukerne bare kan søke etter de opplysninger som er nødvendige for å ivareta deres oppgaver. De personer som kan søke direkte i SIS må ha fått særskilt bemyndigelse, og det er således opp til den behandlingsansvarlige å avgjøre hvilken tilgang som skal gis.
Utover dette tar enkelte høringsinstanser opp spørsmål om den praktiske gjennomføringen av tilgangen til SIS og hvilke konkrete myndigheter som kan få utlevert opplysninger etter forslaget til § 13 nr. 8. Slike spørsmål kan ikke avklares i loven, men må finne sin løsning i forskriften eller retningslinjer.
Departementet opprettholder etter dette forslagene med de endringer som er nevnt.
6.5 Kapittel 5: Innsyn, retting og sletting
6.5.1 Forslaget i høringsnotatet
Forslaget til kapittel 5 omhandler innsyn (§ 15), sletting av opplysninger om personer og gjenstander (§ 16), retting og sletting av uriktige opplysninger (§ 17) og saksbehandlingsregler ved begjæring om innsyn, retting og sletting (§ 18).
Forslaget til § 15 om innsyn er en videreføring av gjeldende § 15 første ledd, men igjen er det nødvendig å skille mellom de ulike behandlingsreglene. For innsyn i opplysninger som er registrert i medhold av forslaget til § 1 nr. 1 (politisamarbeid) kommer politiregisterloven § 49 om innsyn til anvendelse. Begrunnelsen for at det i forslaget til § 15 annet ledd ikke vises til de tilsvarende bestemmelsene i personopplysningsloven er at det i rettsaktene som nevnt i forslaget til § 1 nr. 2 og 3 (grensekontroll og retur) er gitt anvisning på unntaksbestemmelser som fraviker personvernforordningen. Som følge av dette vises det til rettsakten som nevnt i forslaget til § 1 nr. 2 artikkel 53, som åpner for en videre adgang til å kunne gjøre unntak fra innsyn.
Forslaget til § 16 om sletting tilsvarer det som følger av gjeldende § 20. Etter § 20 første ledd er hovedregelen at opplysninger ikke skal behandles lenger enn hva som er nødvendig for formålet. Siden det ikke er mulig til enhver tid å følge med på om de registrerte opplysningene fortsatt er nødvendige for formålet, er det i § 20 listet opp lengste slettefrister for de ulike kategorier opplysninger om personer og gjenstander som nevnt i §§ 7 til 9. Denne ordningen videreføres ved at det i § 16 henvises til artiklene i de tre rettsaktene som gir anvisning på de ulike slettefristene.
Forslaget til § 17 er en videreføring av gjeldende § 16. Etter gjeldende § 16 første og annet ledd skal den behandlingsansvarlige enten etter begjæring fra den registrerte eller av eget tiltak rette eller slette uriktige opplysninger. Etter tredje ledd skal den behandlingsansvarlige så vidt mulig sørge for at feilen ikke får betydning for den registrerte, for eksempel ved å varsle mottakere av uriktige opplysninger. Disse forholdene er nå regulert i politiregisterloven §§ 51 og 53, og i forslaget til § 17 vises det derfor til disse bestemmelsene hva gjelder rettsakten som nevnt i forslaget til § 1 nr. 1 (politisamarbeid). Når det gjelder rettsaktene som nevnt i forslaget til § 1 nr. 2 og 3 (grensekontroll og retur), vises det til de tilsvarende bestemmelsene i personopplysningsloven. Siden personopplysningsloven ikke har en bestemmelse som tilsvarer politiregisterloven § 53 om at den behandlingsansvarlige så vidt mulig skal sørge for at feilen ikke får betydning for den registrerte, sies dette uttrykkelig i annet ledd.
Gjeldende § 16 fjerde ledd regulerer tilfellene der uriktige opplysninger er lagt inn av en annen medlemsstat. I disse tilfellene skal den behandlingsansvarlige uten opphold underrette vedkommende medlemsstat med anmodning om å rette, supplere eller slette opplysningene. Denne bestemmelsen er ikke nedfelt i de tre rettsaktene, men departementet ønsker likevel å videreføre ordningen. Derimot foreslås det ikke å videreføre gjeldende § 16 fjerde ledd siste punktum om at avslag på en slik anmodning kan påklages til departementet, jf. også merknadene til forslaget til § 20 om at klager på begjæringer om innsyn, retting og sletting fremmes for Datatilsynet.
Forslaget til § 18 om saksbehandlingsregler for begjæring om innsyn, retting og sletting er en videreføring av gjeldende § 15 siste ledd, § 16 siste ledd og § 17, men inneholder også noe nytt. Forslaget til § 18 tredje ledd regulerer de tilfellene som gjelder begjæringer om innsyn i opplysninger som er registrert i medhold av forslaget til § 1 nr. 1 (politisamarbeid). Etter gjeldende SIS-forskrift § 2-3 skal avslag på innsyn gis på en måte som ikke tilkjennegir at vedkommende er registrert. Denne regelen følger nå av politiregisterloven § 54 og det vises derfor til denne bestemmelsen. Bakgrunnen for den særegne fremgangsmåten er at kunnskap om å være registrert i seg selv kan forpurre formålet med registreringen, for eksempel innenfor politiets etterretningsvirksomhet. Som følge av dette vil heller ikke begjæringer om retting og sletting av slike opplysninger kunne behandles uten at vedkommende tidligere har fått innsyn i opplysningene. Denne regelen fremgår av politiregisterforskriften § 17-4 første ledd, og foreslås inntatt i forslaget til § 18 tredje ledd. Som noe nytt er det i § 18 siste ledd foreslått at den registrerte i forbindelse med begjæringer om innsyn, retting og sletting skal informeres om sine rettigheter til å kunne bringe inn slike saker til Datatilsynet og for domstolene, jf. de tilsvarende bestemmelsene om dette i personopplysningsloven og politiregisterloven.
6.5.2 Høringsinstansenes syn og departementets vurdering
Ingen av høringsinstansene hadde merknader til forslagene. Departementet opprettholder forslagene.
6.6 Kapittel 6: Erstatning og klageadgang
6.6.1 Forslaget i høringsnotatet
Forslaget til kapittel 6 omhandler erstatning (§ 19) og klageadgang (§ 20).
Forslaget til § 19 om vilkårene for og utmåling av erstatning for skade som er oppstått som følge av behandling av opplysninger i SIS er en videreføring av gjeldende § 18.
Forslaget til § 20 er en videreføring av gjeldende § 19, men klageretten er begrenset til avgjørelser som gjelder erstatning. Etter gjeldende § 19 har den registrerte adgang til å påklage avgjørelser om både innsyn, retting, sletting og erstatning til overordnet organ. Departementet har kommet til at det ikke er ønskelig å videreføre den administrative klageadgangen over avgjørelser som gjelder innsyn, retting og sletting. Begrunnelsen for dette er at behandlingen av opplysninger i SIS etter endringene reguleres både av politiregisterloven og personopplysningsloven, og at det dermed ville oppstå ulik praksis hva gjelder den administrative klageadgangen. Etter politiregisterloven § 55 finnes en slik klageadgang, mens personopplysningsloven ikke har en tilsvarende ordning. Begge lovene legger imidlertid opp til at Datatilsynet etter begjæring fra den registrerte skal kontrollere om opplysningene er behandlet i samsvar med regelverket. Denne «klageadgangen» er nedfelt i SIS-loven § 21, og departementet mener at denne ordningen i tilstrekkelig grad ivaretar den registrertes rettigheter. Det vises også til at både de tre SIS-rettsaktene, personopplysningsloven og politiregisterloven legger opp til at den registrerte kan bringe slike saker inn for domstolene.
6.6.2 Høringsinstansenes syn
Politidirektoratet og Kripos stiller spørsmål ved om det er hensikten med forslaget å begrense klageadgangen og den registrertes rettigheter. Det vises til at forslaget innebærer at den registrerte ikke lenger kan klage til overordnet organ på avgjørelser som gjelder innsyn, retting og sletting, men være begrenset til avgjørelser som gjelder erstatning, og at det er en prinsipiell forskjell på Datatilsynets påleggskompetanse etter politiregisterloven og etter personopplysningsloven og personvernforordningen i klagesaker som gjelder innsyn. Det vises videre til at i motsetning til personopplysningsloven og forordningen artikkel 58 nr. 2 c) kan Datatilsynet ikke pålegge den behandlingsansvarlige å gi innsyn dersom opplysninger er unntatt fra innsynsrett etter politiregisterloven § 49.
Datatilsynet har merket seg at departementet foreslår å fjerne adgangen til å påklage avslag om innsyn, retting og sletting til Politidirektoratet, men mener at Datatilsynets kontroll i tilstrekkelig grad vil ivareta den registrertes rettigheter. Datatilsynet bemerker at påleggskompetansen er begrenset i tilfeller der innsyn nektes i opplysninger registrert etter §§ 7 nr. 1 og 8, med henvisning til § 15 annet ledd. Datatilsynet har dermed ikke samme grunnlaget for å kunne overprøve politifaglige vurderinger slik Politidirektoratet har.
Ingen av høringsinstansene hadde merknader til forslaget om erstatning.
6.6.3 Departementets vurdering
Departementet opprettholder forslagene, men finner likevel grunn til å knytte noen merknader til høringsinstansenes merknader. Departementet er klar over at forslaget til § 20 om klagebehandlingen innebærer at man fjerner muligheten for at et vedtak om avslag om innsyn i saker som har sitt grunnlag i rettsakten om politisamarbeid kan omgjøres av overordnet organ. Videre har heller ikke Datatilsynet påleggskompetanse i slike saker. Datatilsynet kan likevel behandle slike saker og gi anmerkning etter politiregisterloven § 60 annet ledd. Det betyr at tilsynet kan gi en anbefaling, men den er ikke bindende for den behandlingsansvarlige.
Som det fremgår i punkt 6.6.1 ønsker departementet ikke å operere med to forskjellige ordninger avhengig av hvilken av rettsaktene vedtaket er basert på. Riktignok vil forslaget om å avvikle den administrative klageordningen føre til en viss forskjellsbehandling, ved at Datatilsynets påleggskompetanse er begrenset i saker om innsyn etter rettsakten om politisamarbeid. Denne forskjellen er imidlertid en konsekvens av ulik regulering i henholdsvis personvernforordningen og personverndirektivet. Etter forordningen artikkel 58 nr. 2 bokstav c skal tilsynsmyndigheten ha påleggskompetanse i slike saker, mens direktivet artikkel 47 nr. 2 kun krever at tilsynsmyndigheten skal ha myndighet til å treffe korrigerende tiltak som eksemplifiseres i artikkel 47 nr. 2 bokstavene a til c. Påleggskompetanse i saker som gjelder innsyn er ikke nevnt i denne eksemplifiseringen. At den administrative klageordningen avvikles medfører heller ikke at den registrerte ikke har mulighet til å angripe et vedtak om avslag på innsyn, siden slike saker vil kunne bringes inn for domstolene. I denne sammenheng kan det også nevnes at det er registrert svært få klagesaker i løpet av de 20 årene SIS-loven har vært i kraft.
På denne bakgrunn finner departementet det ikke hensiktsmessig at man viderefører en administrativ klageordning som kun gjelder avslag på innsyn etter rettsakten om politisamarbeid.
6.7 Kapittel 7: Tilsyn
6.7.1 Forslaget i høringsnotatet
Forslaget til kapittel 7 omhandler Datatilsynets oppgaver (§ 21), Datatilsynets tilgang til opplysninger (§ 22), Datatilsynets påleggskompetanse og tvangsmulkt (§ 23) og særregler om meldinger lagt inn av en annen medlemsstat (§ 24).
Forslagene til §§ 21, 22 og 24 er en videreføring av gjeldende §§ 21, 22 og 24 uten realitetsendringer. Forslaget til § 23 er en videreføring av gjeldende § 23, men i siste ledd er det tilføyd en bestemmelse om at Datatilsynet kan ilegge tvangsmulkt dersom den behandlingsansvarlige ikke etterkommer pålegg. Dette er i samsvar med den tilsvarende bestemmelsen i politiregisterloven § 60 fjerde ledd, som ble tilføyd i forbindelse med gjennomføringen av personverndirektivet i Prop. 99 L (2016–2017).
6.7.2 Høringsinstansenes syn og departementets vurdering
Politidirektoratet legger til grunn at politiregisterloven § 49 skal ses i sammenheng med politisamarbeidsforordningen artikkel 67. Dette gjelder særlig siden det vises til artikkel 67 nr. 3 i lovforslaget § 23 første ledd annet punktum.
Utover dette hadde ingen av høringsinstansene merknader til forslagene.
Departementet foreslår av eget tiltak at bestemmelsen i § 21 gis en annen utforming enn hva som var foreslått i høringsnotatet. I høringsnotatet ble det foreslått å videreføre i det alt vesentlige ordlyden i gjeldende §§ 21 til 23. Departementet foreslår nå at bestemmelsene i gjeldende § 21 til § 23 samles i en bestemmelse (§ 21) og at man i tillegg sondrer mellom behandlingen av opplysninger i medhold av de ulike rettsaktene, slik at det nå fremgår hvilke personvernregler som gjelder for de forholdene som bestemmelsene omhandler. Endringen medfører ingen realitetsendringer.
6.8 Kapittel 8: Forskrifter
6.8.1 Forslaget i høringsnotatet
Forslaget til kapittel 8 omhandler hjemmel til å gi forskrifter. Etter gjeldende § 25 er det gitt omfattende forskrifter i SIS-forskriften om gjennomføringen av bestemmelsene i SIS-loven. På bakgrunn av de strukturelle endringene i forslaget til endringer i SIS-loven vil behovet for utfyllende forskrifter være mindre. Samtidig kan det tenkes at den endrede strukturen kan avstedkomme behov for forskrifter som klargjør innholdet i de artiklene i rettsaktene det vises til. Departementet har ennå ikke påbegynt arbeidet med forskriften og har derfor på det nåværende tidspunkt ikke fullt ut oversikt over hvilke forhold som bør forskriftsreguleres. Forskriften vil uansett ikke inneholde noen nye materielle regler, slik at ikrafttredelse av lovendringene ikke vil være avhengig av vedtakelsen av forskriften. På denne bakgrunn foreslås det at det kan gis forskrifter til gjennomføring av loven uten en nærmere spesifisering av hvilke forhold som kan reguleres.
6.8.2 Høringsinstansenes syn og departementets vurdering
Ingen av høringsinstansene hadde innsigelser mot forslaget. Departementet opprettholder forslaget, men som det fremgår av punkt 6.2.3 vil man i forskriftshjemmelen eksplisitt nevne at det kan gis forskrift om fordeling av behandlingsansvaret.
6.9 Kapittel 9: Sluttbestemmelser
6.9.1 Forslaget i høringsnotatet
Kapittel 9 omhandler ikrafttredelse (§ 24). Ifølge rettsaktene skal EU-kommisjonen innen 28. desember 2021 sette dato for ikrafttredelsen, som da også vil gjelde for Norge.
6.9.2 Høringsinstansenes syn og departementets vurdering
Ingen av høringsinstansene hadde merknader til forslaget. Departementet opprettholder forslaget.