4 Lovendringer som følge av direktivet
4.1 Innledende merknader
Som nevnt i punkt 2 er anvendelsesområdet den største forskjellen mellom direktivet og rammebeslutningen. Rammebeslutningen gjelder i utgangspunktet bare for behandling av opplysninger som utveksles mellom medlemslandene, mens direktivet også gjelder for den nasjonale behandlingen av opplysninger. Denne forskjellen vil imidlertid ikke medføre endringer i norsk regelverk, idet politiregisterloven gjennomfører rammebeslutningen også for nasjonal behandling av opplysninger.
Utover dette inneholder direktivet ikke vesentlige materiellrettslige forskjeller i forhold til rammebeslutningen. De bestemmelsene i direktivet som representer noe nytt i forhold til rammebeslutningen er først og fremst av presiserende art eller saksbehandlingsregler. De fleste endringene vil derfor bli gjennomført i politiregisterforskriften.
Tilbakemeldingene fra høringsinstansene var i det alt vesentlige positive. Datatilsynet uttaler at departementet har gjort en god og grundig gjennomgang av det aktuelle regelverket og behovet for endringer, og Datatilsynet er på de fleste områder enig i departementets vurderinger og forslag til lov- og forskriftsendringer.
I det følgende gis det en fremstilling av endringsforslagene i politiregisterloven. Departementet har valgt å ta utgangspunkt i direktivets kapitler, for derved å synliggjøre hvilke artikler i de ulike kapitlene som nødvendiggjør lovendringer. Det vil også kort gjøres rede for hvorfor enkelte bestemmelser i direktivet som representerer noe nytt i forhold til rammebeslutningen, ikke avstedkommer endringer i regelverket. For helhetens skyld vil det i enkelte tilfeller også kort nevnes hvilke endringer som ble foreslått i politiregisterforskriften.
4.2 Direktivet kapittel I: Generelle bestemmelser
Kapittel I inneholder bestemmelser om direktivets formål, virkeområde samt definisjoner av sentrale begreper som benyttes i direktivet. I politiregisterloven er disse forholdene regulert i lovens kapittel 1.
4.2.1 Departementets vurderinger og forslag i høringsnotatet
Formålet i artikkel 1 er i hovedsak sammenfallende med rammebeslutningens formål. Det er imidlertid nytt at beskyttelse mot og forebygging av trusler mot den offentlige sikkerhet eksplisitt er omfattet. I politiregisterloven § 2 nr. 13 er det imidlertid tatt høyde for dette ved at ordenstjeneste er definert som et politimessig formål, slik at det ikke ble foreslått endringer.
Direktivets virkeområde, jf. artikkel 2, omfatter også den nasjonale behandlingen av opplysninger, mens rammebeslutningen i utgangspunktet bare kom til anvendelse for opplysninger som utveksles mellom medlemsstatene. Denne forskjellen i anvendelsesområdet vil imidlertid ikke medføre lovendringer i Norge, jf. det som er sagt om dette i punkt 2.
Direktivet regulerer ikke behandling av opplysninger til formål som faller utenfor unionsretten. Dette innebærer at direktivet ikke regulerer PSTs behandling av personopplysninger. I rammebeslutningen artikkel 1 nr. 4 ble det eksplisitt sagt at rammebeslutningen ikke berørte vesentlige nasjonale sikkerhetsinteresser og særskilt etterretningsvirksomhet som gjelder nasjonal sikkerhet. Selv om dette ikke kommer like tydelig frem i direktivet, berører direktivet ikke de hemmelige tjenestene, noe som også er uttalt i direktivets fortale punkt 14. Departementet mente derfor at artikkel 2 ikke avstedkommer endringer i politiregisterloven eller forskriften hva gjelder regulering av PSTs behandling av opplysninger.
Artikkel 3 inneholder definisjoner av en rekke begreper som benyttes i direktivet. Flere av begrepene som defineres i direktivet er også definert i rammebeslutningen artikkel 2, men ordlyden er noe annerledes og mer omfattende. Blant annet regnes også opplysninger om lokasjonsdata, online-identifikator og faktorer knyttet til genetisk identitet som personopplysninger, jf. artikkel 3 nr. 1. I politiregisterloven § 2 nr. 1 er en personopplysning definert som enhver opplysning og vurdering som kan knyttes til en fysisk person. Departementet mente at definisjonen i politiregisterloven er dekkende også for den utvidete definisjonen i direktivet, men foreslo likevel at det presiseres i § 2 nr. 1 at personopplysninger er opplysninger som kan knyttes til fysisk person som «kan identifiseres direkte eller indirekte». Videre ble det foreslått å innta i forskriften § 1-2 nr. 1 at opplysninger om lokasjonsdata, online-identifikator og faktorer knyttet til genetisk identitet regnes som personopplysninger.
Behandlingsbegrepet i direktivet er utvidet ved at også strukturering av opplysninger regnes som behandling av personopplysninger. Departementet foreslo at «strukturering» inntas i definisjonen av behandling i § 2 nr. 2. Endringen innebærer ikke realitetsendringer, men sikrer sammenfall med direktivets definisjon.
I direktivet gis det enkelte nye definisjoner i forhold til rammebeslutningen. Disse er profilering (nr. 4), pseudonymisering (nr. 5), informasjonssikkerhetsbrudd (nr. 11), genetiske data (nr. 12), biometriske data (nr. 13), helseopplysninger (nr. 14), tilsynsmyndighet (nr. 15) og internasjonal organisasjon (nr. 16). Etter departementets vurdering var det ikke behov for å lovfeste definisjonene av profilering, genetiske data, biometriske data, helseopplysninger, tilsynsmyndighet og internasjonal organisasjon. Begrepene er også definert i forordningen artikkel 4, som vil bli gjennomført i norsk rett. Begrepene skal forstås på samme måte i politiregisterloven. Definisjonen av internasjonal organisasjon ble foreslått inntatt i kapittel 70 i forskriften om utlevering til tredjeland og internasjonale organisasjoner.
Departementet foreslo imidlertid å innta definisjonen av informasjonssikkerhetsbrudd i politiregisterloven § 2 nytt nr. 14. Begrunnelsen for dette var at direktivet artikkel 30 og 31 pålegger den behandlingsansvarlige å varsle tilsynsmyndigheten og informere den registrerte ved slike brudd. Dette i motsetning til de øvrige definisjonene, som ikke i seg selv utløser noen rettigheter eller plikter.
4.2.2 Høringsinstansenes syn
Politidirektoratet og Kripos mener at definisjonen av begrepet «informasjonssikkerhetsbrudd» kan gi inntrykk av at bruddet omfatter mer enn hva som er tilsiktet. Kripos anfører at begrepet informasjonssikkerhet er et samlebegrep for krav til konfidensialitet, integritet og tilgjengelighet som knyttes til informasjonsbehandling. Kripos mener at det bør komme klart frem at det er brudd på disse kravene til behandlingen som utgjør et informasjonssikkerhetsbrudd, i motsetning til eksempelvis personellsikkerhetsbrudd eller fysiske sikkerhetsbrudd.
Nasjonal kommunikasjonsmyndighet (Nkom) gir uttrykk for lignende synspunkter. Nkom gjør oppmerksom på at det synes som at begrepsbruken «informasjonssikkerhetsbrudd» som er lagt til grunn i forslaget til § 2 nr. 14 ser ut til å være noe utvidet sammenlignet med direktivteksten «personal data breach», jf. artikkel 3 nr. 11 og artiklene 30 og 31. Det vises til at teksten i høringsnotatet gir inntrykk av at det ikke er tiltenkt noen slik utvidelse av brudd på personopplysningssikkerhet til å gjelde brudd på informasjonssikkerhet.
Øst politidistrikt mener at flere av definisjonene i artikkel 3 bør gjennomføres i politiregisterloven eller forskriften i stedet for å bli henvist til definisjonen i artikkel 4 i forordningen, for derved å skape bedre tilgjengelighet for brukerne.
4.2.3 Departementets vurdering
Departementet er enig at definisjonen i forslaget til § 2 nr. 14 ikke bør etterlate tvil om hvilke brudd som omfattes. Begrepet «informasjonssikkerhetsbrudd» foreslås derfor erstattet med begrepet «personvernbrudd», samtidig som innholdet i begrepet presiseres i de spesielle merknadene til bestemmelsen, jf. punkt 7 i proposisjonen. Videre har man kommet til at noen flere av definisjonene i direktivets artikkel 3 bør gjennomføres i politiregisterloven § 2. Disse er «genetisk opplysning» og «biometrisk opplysning», som er foreslått inntatt i lovens § 7 og derved bare kan behandles dersom dette er strengt nødvendig. Endelig foreslås at begrepet «internasjonal organisasjon» inntas i § 2, som i høringsnotatet var foreslått inntatt i forskriften kapittel 70. Siden begrepet brukes i lovens § 22 kan det være hensiktsmessig at også definisjonen fremkommer i loven.
4.3 Direktivet kapittel II: Prinsipper
Kapittel II gir anvisning på hvilke prinsipper som skal legges til grunn ved behandling av opplysninger, slik de kommer til uttrykk i artikkel 4 til 11.
4.3.1 Departementets vurderinger og forslag i høringsnotatet
I høringsnotatet la departementet til grunn at artiklene 4, 5, 8, 9 og 11 ikke avstedkommer endringsbehov i politiregisterlovgivningen. Artikkel 4 omhandler krav til formålsbestemthet, nødvendighet, forholdsmessighet, opplysningens kvalitet og at behandlingen skal tilfredsstille krav til informasjonssikkerhet. Disse forholdene er på tilsvarende måte regulert i politiregisterloven §§ 4, 5, 6, 15 og 50, og krever således ingen endring. Artikkel 8 om behandlingens rettmessighet omhandler på mange måter det samme som også er nedfelt i artikkel 4 nr. 1 og 2 om at formålet med behandlingen og nødvendigheten skal være lovfestet. Dette er gjennomført i politiregisterloven § 4.
Artikkel 5 gir anvisning på at medlemsstatene skal sørge for at det etableres tidsfrister for sletting av personopplysninger eller for periodiske gjennomganger av behovet for å lagre personopplysninger. Denne bestemmelsen er gjennomført i politiregisterforskriften del 11, der det er fastsatt nærmere slettefrister for opplysninger som behandles i politiets ulike registre.
Artikkel 9 regulerer særskilte behandlingsvilkår. Av nr. 1 og 2 fremgår det at dersom opplysninger som ble innhentet til politimessige formål senere behandles til andre formål enn politimessige – enten av den behandlingsansvarlige selv eller av annen mottaker – skal denne behandlingen reguleres av forordningen. I Norge følger dette av lovens system, og er for politiets vedkommende uttrykkelig uttalt i politiregisterloven § 3 første ledd nr. 2, hvoretter politiets forvaltningsvirksomhet og sivile gjøremål er unntatt fra politiregisterlovens anvendelsesområde. I artikkel 9 nr. 3 reguleres de tilfellene der det i henhold til nasjonal rett gjelder særlige vilkår for behandling av enkelte typer opplysninger. Siden politiregisterlovgivningen ikke oppstiller slike særlige vilkår, så man ingen grunn til å gjennomføre artikkelen.
Artikkel 11 omhandler automatiserte avgjørelser og tilsvarer artikkel 7 i rammebeslutningen, som imidlertid ikke ble gjennomført i politiregisterloven. Begrunnelsen for dette var at det i Norge ikke er ordninger der individuelle avgjørelser som er av betydning for den det gjelder utelukkende er basert på automatisk behandling. Siden dette fortsatt gjelder, så departementet heller ikke grunn til å gjennomføre artikkel 11 i politiregisterloven.
Derimot ble det foreslått endringer i politiregisterlovgivningen som følge av artiklene 6, 7 og 10.
Artikkel 6 angir at den behandlingsansvarlige, der det er aktuelt og så langt det er mulig, skal skille mellom personopplysninger tilknyttet ulike kategorier av registrerte. Bestemmelsen skiller mellom personer som er mistenkt for å ha begått eller kommer til å begå et lovbrudd, domfelte, ofre for kriminalitet og andre personer tilknyttet et lovbrudd, som vitner eller personer tilknyttet mistenkte og straffedømte. Bestemmelsen er ny i forhold til rammebeslutningen. I tillegg til krav om sondring i artikkel 6, oppstilles det i artikkel 7 nr. 1 et krav om at personopplysninger basert på fakta så langt mulig skal kunne skilles fra opplysninger basert på personlige vurderinger. Bestemmelsen er ny i forhold til rammebeslutningen, og det finnes heller ikke noen lignende bestemmelse i politiregisterlovgivningen. Politiregisterlovgivningen skiller riktig nok mellom verifiserte og ikke-verifiserte opplysninger, jf. for eksempel politiregisterloven § 6 annet ledd og § 20, men denne sondringen er ikke nødvendigvis sammenfallende med skillet mellom fakta og vurderinger.
At det skal skilles mellom ulike kategorier opplysninger fremgår av politiregisterloven § 6 tredje ledd siste punktum, men bestemmelsen inneholder i motsetning til artikkel 6 ingen nærmere eksemplifisering av hvilke kategorier av opplysninger det er tale om. Det ble derfor foreslått at de ulike typer kategorier av opplysninger som er listet opp i artikkel 6 inntas i politiregisterloven § 6. Det samme gjelder for sondringen mellom opplysninger som er basert på fakta eller på vurderinger, jf. artikkel 7 nr. 1. Videre gjelder § 6 bare for opplysninger som behandles etter § 5 nr. 2, det vil si til kriminalitetsbekjempelse utenfor den enkelte straffesak. Artikkel 6 og 7 nr. 1 gjelder imidlertid også for behandling av opplysninger i den enkelte straffesak, slik at henvisningen til § 5 nr. 2 må strykes.
Artikkel 7 nr. 2 gir anvisning på at kompetente myndigheter skal sikre at personopplysninger som ikke er oppdaterte, er uriktige eller er mangelfulle ikke skal overføres eller gjøres tilgjengelig. Før opplysninger overføres eller gjøres tilgjengelige skal derfor opplysningenes kvalitet kontrolleres. Så langt mulig skal mottaker ved overføring av opplysninger gis nødvendig informasjon for å kunne vurdere opplysningenes korrekthet, fullstendighet og pålitelighet. Det skal i tillegg angis i hvilken grad opplysningene er oppdaterte. Lignende forhold er regulert i rammebeslutningen artikkel 8 nr. 1, som ikke er direkte gjennomført i politiregisterloven.
Begrunnelsen for dette var at rammebeslutningen, på grunn av sitt anvendelsesområde, ikke hadde noen egen bestemmelse om krav til opplysningens kvalitet, men utelukkende regulerte krav til opplysningens kvalitet i forbindelse med utlevering av opplysningene til andre medlemsland. Som følge av dette la man til grunn at det er tilstrekkelig å regulere opplysningens kvalitet for den nasjonale behandlingen, slik det er gjort i politiregisterloven § 6. For utlevering av opplysninger til utlandet er bestemmelsen gjennomført i politiregisterforskriften § 70-6.
Når direktivet viderefører kravet til kontroll av opplysninger ved utlevering i artikkel 7 nr. 2 til tross for at kravene til opplysningens relevans, tilstrekkelighet og korrekthet er regulert i artikkel 6 nr. 1 bokstav c og d, indikerer dette at kvalitetskontroll av opplysninger i forbindelse med utlevering er et selvstendig krav.
Departementet fant imidlertid ikke at det er nødvendig å gjennomføre artikkel 7 nr. 1 i loven, men foreslo at bestemmelsen tas inn som nytt første ledd i forskriften § 11-3, som i dag regulerer formkrav ved utlevering av opplysninger.
Artikkel 7 nr. 3 stiller krav om at dersom uriktige personopplysninger har blitt overført eller personopplysninger er overført ulovlig, skal mottaker varsles straks. Etter nr. 3 annet punktum skal de overførte personopplysningene rettes, slettes eller sperres i samsvar med reglene om retting, sletting og sperring i artikkel 16. Plikten til å informere mottakeren av uriktige opplysninger er regulert i rammebeslutningen artikkel 8 nr. 2, som er gjennomført i politiregisterloven § 53. Det fremgår imidlertid ikke uttrykkelig av § 53 at opplysningene i så fall skal rettes, slettes eller sperres, idet dette uansett følger av politiregisterloven § 51.
Om denne problemstillingen uttalte departementet i høringsnotatet følgende:
«Ved første øyekast kan det synes som om artikkel 7 nr. 3 er en ren videreføring av artikkel 8 nr. 2 i rammebeslutningen. Når artikkel 7 nr. 3 viser til artikkel 16, innbefatter dette imidlertid også artikkel 16 nr. 6, hvoretter også mottakeren i en slik situasjon pålegges å rette, slette eller sperre de uriktige opplysningene. Dette representerer noe nytt i forhold til rammebeslutningen. Bestemmelsen er noe merkelig, idet den legger opp til at politiregisterloven pålegger retting, sletting eller sperring selv om mottakeren av opplysningene faller utenfor politiregisterlovens anvendelsesområde. Dette er til en viss grad i strid med den generelle oppfatningen om at mottakeren av opplysninger skal behandle disse i samsvar med den lovgivningen som gjelder for mottakeren, med mindre avgiver har knyttet særlige vilkår til behandlingen. Dette gjelder både taushetspliktsbestemmelser og regler om behandling av opplysninger. Dersom politiet for eksempel utleverer opplysninger til skatteetaten, vil taushetspliktsbestemmelsene i skattelovgivningen og bestemmelsene i personopplysningsloven komme til anvendelse for den videre behandling i skatteetaten. Siden også personopplysningsloven (eller for den saks skyld forordningen) har regler om plikt til å rette, slette eller sperre uriktige opplysninger, ville resultatet bli det samme. Det ville videre representere noe prinsipielt nytt at det i politiregisterloven gis regler for behandlingsansvarlige som faller utenfor lovens anvendelsesområde. […]
Etter departementets oppfatning ville den beste løsning være at det i § 53 gis anvisning på at den behandlingsansvarlige i forbindelse med underretning om at det er sendt uriktige opplysninger, skal anmode mottakeren om å rette, slette eller sperre opplysningene i samsvar med det rettslige grunnlaget som gjelder for mottakeren.»
Direktivet artikkel 10 gir anvisning på at behandling av særlige kategorier av personopplysninger bare kan finne sted dersom det er strengt nødvendig. Tilsvarende forhold er regulert i rammebeslutningen artikkel 6, som er gjennomført i politiregisterloven § 7. Nytt i direktivet er at også genetisk informasjon og biometrisk informasjon regnes som særlige kategorier av personopplysninger, som kun skal behandles dersom det er strengt nødvendig. Videre er det nytt at også «seksuell orientering» faller inn under denne kategorien, mens det tidligere bare var «seksuallivet».
Nytt er også at artikkelen oppstiller tre alternative behandlingsgrunnlag for denne type opplysninger i bokstavene a til c, som kan være hjemmel i lov, for å beskytte den registrertes eller en annen fysisk persons vitale rettigheter, eller opplysninger som den registrerte selv har offentliggjort. Bestemmelsen nødvendiggjør endringer i politiregisterloven § 7, ved at man tilføyer de tidligere nevnte kategoriene. Departementet fant videre grunn til å foreslå at man i politiregisterloven § 7 tilføyer at disse opplysningene også kan behandles i de tilfellene som nevnt i artikkel 10 bokstav b, idet beskyttelse av den registrerte eller ivaretakelse av andre personers vitale interesser ikke nødvendigvis er et politimessig formål. Siden bokstav b derved i enkelte tilfeller representerer en viss utvidelse av politiregisterlovens formål, fant man det nødvendig å lovfeste denne adgangen. Når det gjelder bokstav c fant departementet ikke grunn til å gjennomføre denne. At den registrerte selv har offentliggjort slike opplysninger bør ikke være et selvstendig grunnlag for politiets behandling når vilkårene om formålsbestemthet og nødvendighet ikke er oppfylt.
Utover dette foreslo departementet at begrepet «nasjonal» i politiregisterloven § 7 erstattes med «rasemessig». Bakgrunnen for at § 7 inneholder begrepet «nasjonal» er at det under høringen av forslaget til politiregisterloven ble anført at begrepet «rasemessig bakgrunn» bør fjernes fordi det ikke finnes vitenskapelig belegg for at det eksisterer ulike raser. Departementet sluttet seg til denne argumentasjonen, og erstattet derfor begrepet «rasemessig» med «nasjonal», selv om begrepet «rasemessig» ble brukt både i politiregisterutvalgets forslag og i rammebeslutningen. Det har imidlertid i etterkant vist seg at begrepet «nasjonal» bakgrunn ble misforstått, idet begrepet ble likestilt med statsborgerskap. Videre brukes begrepet «rase» både i artikkel 10 i direktivet og i artikkel 9 i forordningen. I punkt 37 i fortalen til direktivet er det anført at opplysninger om rasemessig eller etnisk opprinnelse bør beskyttes særskilt, uten at dette innebærer at Unionen aksepterer teorier som forsøker å fastslå at det finnes forskjellige menneskeraser. På denne bakgrunn mente departementet at begrepet «rasemessig» også bør inntas i politiregisterloven for å sikre ensartet språkbruk, og for å unngå de ovenfor nevnte misforståelser.
4.3.2 Høringsinstansenes syn
Ad endringsforslaget i politiregisterloven § 6
Politidirektoratet og Kripos gir uttrykk for at opplistingen av de ulike kategorier personopplysninger er for detaljert. Videre bør man under enhver omstendighet ikke nevne kategorien «informant», idet informasjonen om i hvilken grad en person er en informant må skjermes så langt som mulig. Begge høringsinstansene reiser spørsmålet om kravet om kategorisering/merking av de registrerte personene medfører at kategoriseringen må være bygget inn i de tekniske løsningene, eller om det er tilstrekkelig at man ved innsyn eller utlevering av opplysninger skal kunne vise til hvilken kategori registrerte personer tilhører.
Øst politidistrikt støtter forslaget og gir uttrykk for at det både ut fra et personvernperspektiv og for politiets arbeid er viktig at det fremgår hvilken rolle den registrerte har og om det dreier seg om fakta eller vurderinger.
Ad endringsforslaget i politiregisterloven § 7
Politidirektoratet og Kripos støtter forslaget om å fjerne begrepet «nasjonal», men er skeptiske til begrepet «rasemessig» på grunn av de negative assosiasjonene som er knyttet til begrepet. Begge disse høringsinstansene gir videre uttrykk for at det er vanskelig å se forskjellen mellom «seksuelle forhold» og «seksuell orientering». Kripos reiser i tillegg spørsmålet om tilføyelsen av «genetiske og biometriske opplysninger med det formål entydig å identifisere en fysisk person» medfører endringer i dagens praksis om registrering og bruk av biometriske opplysninger i politiets registre som inneholder biometriske opplysninger, nærmere sagt om dagens praksis vil være innenfor kriteriet «strengt nødvendig».
Politiets sikkerhetstjeneste har ingen innsigelser mot forslaget, men forutsetter at endringen ikke hindrer eller påvirker politiets bruk av straffeprosessuelle hjemler knyttet til denne typen opplysninger.
Ad endringsforslaget i politiregisterloven § 53
Ingen av høringsinstansene som har uttalt seg om forslaget hadde innvendinger.
4.3.3 Departementets vurdering
Ad endringsforslaget i politiregisterloven § 6
Hovedhensikten med artikkel 6 i direktivet er at det skal fremgå tydelig om den registrerte er antatt gjerningsperson eller om vedkommende har en annen rolle i saken. Videre skal det fremgå om gjerningspersonen er domfelt eller om det bare er tale om mistanke, siktelse mv. Slike vurderinger var også årsaken til at kravet om markering av kategorier personer ble tatt inn i politiregisterloven § 6 tredje ledd, selv om pålegget ble begrenset til å gjelde registreringen utenfor den enkelte straffesak. Når det gjelder behandling av opplysninger i den enkelte straffesak, legges det til grunn at det uansett fremgår om den registrerte for eksempel har status som antatt gjerningsperson eller om vedkommende er fornærmet, vitne mv. Således vil det i straffesaksdokumentene regelmessig fremgå hvilken kategori personer vedkommende tilhører. Departementet legger derfor til grunn at forslaget til endring i § 6 tredje ledd, hva gjelder sondringen mellom ulike kategorier av personer, ikke vil medføre noen vesentlige endringer i praksis.
Behovet for å skille er ikke aktuelt i de registrene som bare inneholder registrering av en kategori personer, slik som for eksempel reaksjonsregisteret og DNA-registeret. Derimot vil behovet for å skille mellom ulike kategorier personer gjør seg gjeldende for enkelte registre som inneholder opplysninger tilknyttet straffesaker. Dette gjelder for eksempel for straffesaksregisteret, jf. politiregisterforskriften kapittel 48, der det i § 48-5 nr. 5 er gitt adgang til å registrere «personalia for involverte personer».
Videre kan det etter politiregisterforskriften § 26-2 registreres opplysninger som ledd i den interne saksbehandlingen. Her vil det blant annet kunne registreres opplysninger fra straffesaksdokumenter, herunder involverte personer, og behovet for å skille mellom ulike kategorier personer er derfor også tilstede i disse tilfellene.
Det å være registrert i politiets registre er et inngrep i henhold til EMK artikkel 8, og det vil av mange oppfattes som en belastning å være registrert i disse registrene. Det er derfor særlig viktig at det skilles mellom de nevnte kategoriene, slik at det ved søk på personer er tydelig hvilken kategori de tilhører. Som Øst politidistrikt anfører vil det også være i politiets egen interesse at det fremgår av registrene hvilken kategori personer den registrerte tilhører. Endringsforslaget innebærer ikke at kategoriseringen må være bygget inn i de tekniske løsningene. Det sentrale er at det i forbindelse med søk i registrene eller utlevering av opplysninger fra registrene på en eller annen måte fremgår hvilken kategori vedkommende tilhører.
Det er videre viktig å understreke at direktivet ikke oppstiller et absolutt krav om å markere slike skiller, men at dette skal gjøres dersom det er relevant og så vidt mulig. Endringsforslaget til § 6 gir derved ikke uttrykk for et absolutt krav, men åpner for en skjønnsmessig vurdering. Avgjørende for denne vurderingen vil være å ivareta formålet med bestemmelsen, som er at ingen figurerer som antatt gjerningsperson eller domfelt uten å være det.
Departementet er for øvrig enig i anførslene fra de høringsinstansene som gir uttrykk for at opplistingen av kategoriene kan kortes ned og at begrepet «informant» bør fjernes.
Ad endringsforslaget i politiregisterloven § 7
Departementet finner innledningsvis grunn til å bemerke at endringsforslagene ikke vil få betydning for politiets bruk av straffeprosessuelle hjemler knyttet til denne typen opplysninger, som for eksempel straffeprosessloven § 158 om innhenting av biologisk materiale med sikte på å gjennomføre en DNA-analyse. Det samme gjelder for registrering og bruk av biometriske opplysninger i politiets registre som inneholder biometriske opplysninger, som for eksempel DNA-registeret eller fingeravtrykkregisteret. Denne behandlingen vil fortsatt styres av de reglene som styrer angjeldende registre.
Departementet har merket seg at enkelte høringsinstanser er skeptiske til begrepet «rasemessig». Departementet har forståelse for disse synspunktene, men fastholder likevel forslaget. Som nevnt i punkt 4.3.1 brukes dette begrepet både i direktivet og i artikkel 9 i forordningen. Forordningen vil bli gjennomført ordrett i norsk rett, med mindre det er åpnet for nasjonale særreguleringer. Artikkel 9 i forordningen åpner ikke for slik særregulering. Dersom man skulle velge å erstatte begrepet «rasemessig» i politiregisterloven med et annet begrep eller å fjerne det helt, ville man komme i den situasjon at definisjonen av særlige kategorier opplysninger ville være annerledes for politiet enn for alle andre behandlingsansvarlige som er underlagt forordningen. En slik fremgangsmåte ville være egnet til å skape et inntrykk av at denne forskjellen innebærer en realitetsforskjell, noe som ikke er tilfelle. For å sikre ensartethet og for å unngå misforståelser mener departementet at det er mest hensiktsmessig å bruke begrepet i politiregisterloven. I tillegg har man erstattet begrepet «bakgrunn» med begrepet «opprinnelse» for å etablere ensartethet mellom § 7 og den norske oversettelsen av artikkel 10. Når det til slutt gjelder enkelte høringsinstansers merknader knyttet til begrepene «seksuelle forhold» og «seksuell orientering» er det også her ønskelig å oppnå mest mulig ensartethet med oversettelsen av forordningen og direktivet, og begrepene opprettholdes derfor.
Ad endringsforslaget i politiregisterloven § 53
Ingen av høringsinstansene som har avgitt uttalelse har innvendinger, og forslaget opprettholdes.
4.4 Direktivet kapittel III: Den registrertes rettigheter
Kapittel III regulerer den registrertes rettigheter. Kapittelet inneholder blant annet bestemmelser om informasjon til den registrerte, innsyn, rett til retting, sperring og sletting, rett til å utøve rettighetene gjennom tilsynsmyndigheten og en særbestemmelse om den registrertes rettigheter i straffesak.
4.4.1 Departementets vurderinger og forslag i høringsnotatet
I høringsnotatet ble det uttalt at kapittel III er noe vanskelig tilgjengelig. Dette har blant annet sammenheng med at enkelte artikler inneholder bestemmelser som også finnes i andre kapitler i direktivet, og at kapittelet i tillegg til å regulere den registrertes rettigheter, også gir en rekke bestemmelser om saksbehandlingsregler og om den behandlingsansvarliges rettigheter og plikter. I tillegg må artikkel 13, 14 og 16 ses i sammenheng med unntaksbestemmelsen i artikkel 18 om behandling av opplysninger i straffesaker, som gir uttrykk for at forhold knyttet til retten til informasjon, innsyn, sperring, retting og sletting av opplysninger reguleres av nasjonal rett når personopplysninger behandles i forbindelse med straffesaker. Direktivet forutsetter således ikke at det må gjøres endringer i de eksisterende reglene for den registrertes rettigheter i straffesaker.
I høringsnotatet ble det foretatt en bred gjennomgang av artiklene i kapittel III med henblikk på å vurdere om bestemmelsene nødvendiggjør endringer i politiregisterloven. Departementet har konkludert med at bestemmelsene i politiregisterloven som gjelder de omtalte rettighetene er i samsvar med bestemmelsene i direktivet, og at det således ikke er nødvendig å endre loven. Derimot har man foreslått enkelte endringer i politiregisterforskriften for å oppfylle direktivets krav knyttet til saksbehandling.
Selv om man var av den oppfatning at kapittel III ikke nødvendiggjør endringer i politiregisterloven, ble det i høringsnotatet likevel foreslått enkelte endringer i politiregisterloven § 48 om informasjonsplikt.
Begrunnelsen for dette var at unntakene fra informasjonsplikten i § 48 annet ledd nr. 2 ikke er sammenfallende med unntakene fra innsynsretten i § 49 fjerde ledd og artikkel 13 nr. 3, ved at hensynet til nasjonal og offentlig sikkerhet og hensynet til gjennomføring av strafferettslige reaksjoner ikke er nevnt i § 48. Hensett til det snevre virkeområdet for informasjonsplikten i § 48, er det lite trolig at hensynet til nasjonal sikkerhet og gjennomføring av strafferettslige reaksjoner vil kunne være en aktuell unntaksgrunn. Departementet har imidlertid kommet til at hensynet til harmonisering med unntakene i § 49 og artikkel 13 nr. 3 i direktivet tilsier at de nevnte forholdene også tas inn som hensyn som kan begrunne unntak fra informasjonsplikten.
4.4.2 Høringsinstansenes syn og departementets vurdering
Ingen av høringsinstansene har gitt uttrykk for at bestemmelsene i kapittel III i direktivet bør avstedkomme endringer i politiregisterloven. Forslaget til endringer i politiregisterloven § 48 støttes av de høringsinstansene som har uttalt seg om spørsmålet. Departementet opprettholder derfor endringsforslaget.
4.5 Direktivet kapittel IV: Behandlingsansvarlig og databehandler
Direktivet kapittel IV regulerer den behandlingsansvarliges og databehandlerens forpliktelser. Kapittelet er delt inn i tre deler. Første del (artikkel 19 til 28) omhandler generelle forpliktelser for den behandlingsansvarlige og databehandleren, herunder blant annet krav om å sikre at opplysninger behandles i samsvar med direktivet (artikkel 19), innebygget personvern (artikkel 20), delt behandlingsansvar (artikkel 21), den behandlingsansvarliges og databehandlerens oversikt over opplysninger som behandles (artikkel 24), logging (artikkel 25) og vurdering av personvernkonsekvenser og forhåndsdrøftelser med tilsynsmyndigheten (artikkel 27 og 28). Andre del (artikkel 29 til 31) omhandler informasjonssikkerhet, herunder krav om varsling av tilsynsmyndigheten og informasjon til den registrerte ved personvernbrudd. Tredje del (artikkel 32 til 34) omhandler personvernrådgivere.
Kapittel IV er atskillig mer omfattende enn de tilsvarende bestemmelsene i rammebeslutningen artikkel 21 til 23, noe som skyldes at kapittelet er utarbeidet etter mal av forordningen kapittel IV. Krav til blant annet informasjonssikkerhet, internkontroll, sporing og databehandlerens rådighet over personopplysninger er regulert i politiregisterloven §§ 15 til 18, og er nærmere utdypet i politiregisterforskriften kapittel 39 og 40. I hovedsak er disse bestemmelsene dekkende for kravene som stilles i kapittel IV, med unntak av enkelte endringer som omtales nærmere nedenfor.
4.5.1 Departementets vurderinger og forslag i høringsnotatet
I høringsnotatet la departementet til grunn at del 1 i direktivets kapittel IV ikke avstedkommer endringer i politiregisterloven. Derimot ble det foreslått noen tilføyelser i politiregisterforskriften §§ 39-2 og 39-5 om hvilke forhold henholdsvis behandlingsansvarlig og databehandler skal ha oversikt over.
I høringsnotatet ble det likevel foreslått å oppheve politiregisterloven § 57 om meldeplikt, og i denne forbindelse knyttet departementet noen merknader til behovet for å gjennomføre artiklene 27 og 28 om konsekvensutredning og konsultasjon med tilsynsmyndigheten.
Politiregisterloven § 57 og forskriften kapittel 41 stiller krav om at det skal gis melding til Datatilsynet blant annet ved etablering av nye registre. Kravet om meldeplikt fantes ikke i rammebeslutningen, men man valgte med politiregisterloven likevel å innføre krav om meldeplikt, ettersom det var et krav i det tidligere personverndirektivet (direktiv 95/46/EF), se Ot.prp. nr. 108 (2008–2009) punkt 16.1. Det ble imidlertid i kongelig resolusjon 20. september 2013 nr. 1097 (politiregisterforskriften) punkt. 7.10.1 uttalt at meldeplikten ville ha liten selvstendig betydning ved siden av plikten til å forskriftsregulere behandlingen. Bestemmelsene om meldeplikt er ikke trådt i kraft.
Den nye personvernforordningen viderefører ikke bestemmelsene om meldeplikt fra direktiv 95/46/EF, og det er heller ikke bestemmelser om meldeplikt i direktiv (EU) 2016/680. Departementet foreslo derfor at eksisterende bestemmelser i politiregisterloven § 57 og forskriften kapittel 41 om meldeplikten oppheves, da det ikke er grunn til å ha meldeplikt for politiets og påtalemyndighetens behandling av opplysninger når de nevnte rettsaktene ikke inneholder en slik plikt. Som følge av dette ble det også foreslått å oppheve politiregisterloven § 69 første ledd nr. 22 som hjemler adgang til å gi forskrifter om meldeplikten. Det vises til punkt 4.9 og 4.7 nedenfor, der det foreslås å gi henholdsvis § 57 og § 69 første ledd nr. 22 et nytt innhold. Opphevelsen av § 57 medfører videre at § 14 må endres, idet den viser til § 57. Det ble foreslått at formuleringen i § 14 i stedet erstattes med «før etablering av et sentralt register», slik at kravet om forskriftsregulering av politiets registre videreføres.
Selv om direktivet ikke inneholder noe krav om meldeplikt, legges det likevel opp til at det må foretas vurderinger før nye behandlinger starter, og at tilsynsmyndighetene skal involveres. Etter direktivet artikkel 27 skal den behandlingsansvarlige, før en behandling som kan medføre stor risiko for personers rettigheter og friheter starter, gjennomføre en vurdering av behandlingens konsekvenser for personvernet. Bestemmelsen tilsvarer med enkelte justeringer forordningen artikkel 35 nr. 1 og 7. Kravet om forutgående konsekvensutredning er nytt i forhold til rammebeslutningen, og er ikke regulert i politiregisterloven eller forskriften.
Artikkel 28 stiller krav om at den behandlingsansvarlige eller databehandleren skal konsultere tilsynsmyndigheten dersom konsekvensutredningen etter artikkel 27 indikerer at behandlingen vil medføre stor risiko uten kompenserende tiltak, eller dersom behandlingsmåten innebærer stor risiko for den registrertes rettigheter og friheter.
Bestemmelsen tilsvarer i hovedsak forordningen artikkel 36, men er begrenset til å gjelde der behandlingen skal utgjøre en del av et nytt register.
I høringsnotatet ble det gitt følgende begrunnelse for hvorfor man mente at det ikke var nødvendig å gjennomføre disse artiklene:
«Departementet kan ikke se at det er nødvendig å gjennomføre artikkel 27 og 28 i politiregisterloven. Ettersom loven stiller krav om at politiets registre skal forskriftsreguleres, vil ikke den behandlingsansvarlige kunne opprette nye registre uten at det først gis en forskrift. Forskriftene vil bli sendt på høring, slik at de personvernmessige konsekvensene vil bli tilstrekkelig belyst, og tilsynsmyndighetene vil ha anledning til å uttale seg. Ordningen med konsekvensutredning og konsultasjon som direktivet legger opp til vil dermed ikke ha noen selvstendig betydning, og det foreslås derfor ingen endringer.»
Departementet ba imidlertid om høringsinstansenes syn på spørsmålet, særlig fra Datatilsynet.
Når det gjelder del 2 om informasjonssikkerhet i direktivet kapittel IV fant departementet heller ingen grunn til å foreta endringer i politiregisterloven. Derimot ble det foreslått endringer i politiregisterforskriften § 40-5 om avvik som skal gjennomføre artiklene 30 og 31 i direktivet. Det ble som følge av dette også foreslått justeringer i forskriftshjemmelen i politiregisterloven § 69 første ledd nr. 7.
Kapittel IV del 3 regulerer personvernrådgiverordningen, og nødvendiggjør endringer i både politiregisterloven og forskriften. I politiregisterloven § 63 er det angitt at det kan etableres en ordning med personvernrådgiver. Personvernrådgiverens oppgaver er nærmere regulert i politiregisterforskriften kapittel 43. Etter direktivet artikkel 32 skal det opprettes en ordning med personvernrådgiver. Det fremgår imidlertid av fortalen punkt 63 at oppgaven kan utføres på heltid eller deltid, og at en personvernrådgiver kan gjøre tjeneste for flere behandlingsansvarlige. Bestemmelsen tilsvarer delvis forordningen artikkel 37, men er blant annet begrenset til kun å gjelde for den behandlingsansvarlige og ikke for databehandlere.
Bestemmelsen nødvendiggjør endringer i politiregisterloven § 63 og forskriften § 43-1 som følge av at ordningen med personvernrådgiver ikke lenger er frivillig. Det ble i tillegg foreslått å ta ut av lovbestemmelsen at den behandlingsansvarlige skal gi melding til Datatilsynet om at det er etablert en ordning med personvernrådgiver, ettersom dette også er regulert i forskriften § 43-1.
4.5.2 Høringsinstansenes syn
Ingen av høringsinstansene hadde innvendinger mot forslagene om å endre politiregisterloven § 14, endringer i forskriftshjemmelen i § 69 første ledd nr. 7 eller til forslaget om å oppheve § 57 om meldeplikt med tilsvarende forskriftshjemmel i § 69 første ledd nr. 22.
Når det gjelder behovet for å gjennomføre artikkel 27 og 28 om konsekvensutredning og konsultasjon, ga Datatilsynet uttrykk for at tilsynet hadde forståelse for departementets standpunkt i høringsnotatet, men at tilsynet likevel mener at de angjeldende artiklene bør synliggjøres i politiregisterforskriften.
Flere høringsinstanser har knyttet merknader til endringsforslaget til politiregisterloven § 63 om obligatorisk personvernrådgiverordning.
Politidirektoratet mener at ordlyden i bestemmelsen bør være klarere med hensyn til omfanget av personvernrådgiverordningen. Etter direktoratets oppfatning bør det fremgå av ordlyden at alle virksomheter i politi- og lensmannsetaten som behandler personopplysninger etter politiregisterloven skal ha en slik funksjon.
Kripos uttaler at ordningen med personvernrådgivere allerede er godt etablert i politiet, og at det derfor ikke bør medføre særlige utfordringer å gjøre ordningen obligatorisk. Kripos påpeker at det ikke fremgår av lovforslaget hvorvidt hvert politidistrikt og særorgan som har et behandlingsansvar etter politiregisterloven må ha en personvernrådgiver, eller om det er tilstrekkelig at det finnes personvernrådgivere i politiet. Kripos er av den oppfatning at ordningen bør gjelde så bredt som mulig, slik at det som minimum finnes dedikert personell som ivaretar oppgavene og rollen som personvernrådgiver i hvert distrikt og særorgan.
Innlandet politidistrikt uttaler at innføring av obligatorisk ordning med personvernrådgiver er fornuftig for å sikre korrekt og enhetlig praksis. Det vises til at personvernrådgiver er en viktig rolle sett opp mot blant annet internasjonale forpliktelser og for å bedre kvaliteten på politiets behandling av opplysninger. I tillegg uttaler politidistriktet:
«Regelverket fremstår som moderne og lett forståelig. Problemet ligger i solid forankring fra ledelsen og nedover i rekkene. Hvis ikke toppledelsen har dette som et viktig tema på agendaen, så vil vi ikke klare å skape den kulturendringen som ligger i dette fokuset på personvern og informasjonssikkerhet. Det er derfor særs viktig at dette knyttes opp mot en dedikert stilling som personvernrådgiver i en av stabene i politidistriktet.»
4.5.3 Departementets vurdering
Departementet har merket seg at Datatilsynet er enig med departementet i at artiklene 27 og 28 ikke må gjennomføres i politiregisterloven. På bakgrunn av innspillet fra Datatilsynet har departementet kommet til at artiklene likevel bør gjennomføres i politiregisterforskriften.
Når det gjelder forslaget om obligatorisk personvernrådgiverordning, finner departementet innledningsvis grunn til å understreke at ordningen ikke bare gjelder for politiet, men også for påtalemyndigheten. Utover dette finner man det gledelig at personvernrådgiverordningen, som ble innført i forbindelse med vedtakelsen av politiregisterloven, ifølge uttalelsene fra Politidirektoratet og Kripos synes å være godt etablert til tross for at ordningen er frivillig. Departementet er i utgangspunktet enig med høringsinstansene i at ordningen bør etableres i alle virksomheter innenfor politiet, og for den saks skyld også innenfor påtalemyndigheten. Man finner likevel ikke grunn til å lovfeste dette. Det vises her til at artikkel 32 riktig nok gir anvisning på at det skal innføres en personvernrådgiverordning, men dette kan ikke leses slik at hver virksomhet innenfor et offentlig organ skal ha en slik ordning. Det fremgår også tydelig av punkt 63 i direktivets fortale at en personvernrådgiver kan utføre tjeneste for flere behandlingsansvarlige og at oppgaven kan utføres på heltid eller deltid. Det er således opp til de behandlingsansvarlige, det vil si sjefene for statsadvokatembeter, politidistrikter og særorganer, å bestemme om og hvordan de vil organisere personvernrådgiverordningen. Den folkerettslige forpliktelsen som ligger i artikkel 32, nemlig at det skal finnes en personvernrådgiverordning i politiet, har Norge allerede oppfylt. Det vises også til at det i forbindelse med vedtakelsen av politiregisterloven ble tildelt 10 stillinger til personvernrådgivere i politiet.
Siden ingen av høringsinstansene hadde innvendinger mot forslagene om å endre politiregisterloven §§ 14 og 63, endringer i forskriftshjemmelen i § 69 første ledd nr. 7 eller til forslaget om å oppheve § 57 om meldeplikt med tilsvarende forskriftshjemmel i § 69 første ledd nr. 22, opprettholdes forslagene.
4.6 Direktivet kapittel V: Utlevering av opplysninger til tredjeland og internasjonale organisasjoner
Direktivet kapittel V regulerer utlevering av opplysninger til tredjeland og til internasjonale organisasjoner. Lignende forhold er regulert i rammebeslutningen artikkel 13, som er gjennomført i politiregisterforskriften § 70-16. Rammebeslutningens bestemmelse gjaldt imidlertid kun for utlevering av opplysninger som er mottatt fra et annet medlemsland, mens direktivet kapittel V gjelder uavhengig av hvor opplysningene kommer fra.
4.6.1 Departementets vurderinger og forslag i høringsnotatet
Som følge av at direktivet gir detaljerte regler som gjelder for all utlevering til tredjeland og internasjonale organisasjoner, var det nødvendig å foreslå justeringer i politiregisterloven § 22 første ledd. Det må komme klart frem at første ledd gjelder for utlevering til land som er bundet av direktivet, mens tilleggskrav om utlevering til tredjeland og internasjonale organisasjoner er gitt i forskriften.
I politiregisterforskriften kapittel 70 er det i dag inntatt de særskilte bestemmelser i rammebeslutningen som regulerer utveksling av personopplysninger over landegrenser. Som følge av at direktivet opphever rammebeslutningen, blir også gjeldende kapittel 70 å oppheve. Departementet foreslo at man i kapittel 70 i stedet inntar de bestemmelser i kapittel V som gjelder for utlevering av opplysninger til tredjeland og internasjonale organisasjoner. For å gjøre det klart at PST ikke omfattes av kapittel 70, ble det i utkastet til § 70-3 presisert at kapittelet ikke berører saker som behandles av Politiets sikkerhetstjeneste.
4.6.2 Høringsinstansenes syn og departementets vurdering
PST mener at unntaket for PST som er foreslått i politiregisterforskriften § 70-3 bør fremgå av loven, da det trinnmessig fremstår som uriktig at unntaket først synliggjøres i forskriften. Departementet slutter seg ikke til det. Når tilleggsvilkårene fastsettes i forskrift, hører unntakene også hjemme i forskrift.
4.7 Direktivet kapittel VI: Tilsyn
Kapittel VI i direktivet regulerer ulike forhold knyttet til tilsynsmyndigheter.
4.7.1 Departementets vurderinger og forslag i høringsnotatet
I høringsnotatet ble det vist til at man ikke fant det nødvendig å gjennomføre artiklene 41 til 44 i politiregisterlovgivningen. Disse artiklene inneholder bestemmelser om tilsynsmyndighetenes uavhengighet, hvordan de skal opprettes og hvilket ansvarsområde de skal ha. Bestemmelsene i kapittel VI tilsvarer i det alt vesentlige kapittel VI i forordningen. Disse forholdene vil bli regulert i regelverket som gjennomfører forordningen i norsk rett, og det er på samme måte som etter gjeldende rett ikke noen grunn til å gjennomføre disse bestemmelsene i politiregisterloven. Det fremgår også eksplisitt av direktivet artikkel 41 nr. 3 at en tilsynsmyndighet som er etablert etter forordningen også kan være tilsynsmyndighet etter direktivet.
Tilsynsmyndighetenes kompetanse, oppgaver og virkemidler er regulert i artikkel 45 til 47. Disse forholdene er regulert i politiregisterloven §§ 58 til 60, og man kunne ikke se at direktivet nødvendiggjør endringer i disse bestemmelsene.
Nytt er likevel at artikkel 46 nr. 4 åpner for at tilsynsmyndighetene kan kreve gebyr eller avvise en begjæring om kontroll fra den registrerte, dersom begjæringen åpenbart er ubegrunnet eller fremsatt gjentatte ganger. Slike situasjoner er det allerede tatt høyde for i politiregisterforskriften § 42-4 annet ledd, hvoretter Datatilsynet kan avvise slike begjæringer. Bestemmelsen åpner imidlertid ikke for å kunne kreve gebyr. Det ble derfor foreslått å innta i forskriften § 42-4 annet ledd at det i stedet for å avvise en begjæring om kontroll, kan kreves gebyr for å behandle begjæringen. Adgang til å ilegge gebyrer krever lovhjemmel. Det ble derfor foreslått at denne adgangen forankres i forskriftshjemmelen i politiregisterloven § 69 nr. 22.
Tilsynsmyndighetens adgang til å ilegge gebyrer mv. ved behandling av opplysninger i strid med regelverket vil bli omtalt under direktivets kapittel VIII, se punkt 4.9.1.
4.7.2 Høringsinstansenes syn og departementets vurdering
Ingen av høringsinstansene som har uttalt seg har innvendinger og departementet opprettholder derfor forslaget.
4.8 Direktivet kapittel VII: Samarbeid
Kapittel VII i direktivet omhandler tilsynsmyndighetenes gjensidige bistand innenfor EU-landene og Personvernrådets («European Data Protection Board») oppgaver, jf. artikkel 50 og 51. Disse bestemmelsene tilsvarer artikkel 61 og 70 i forordningen.
4.8.1 Departementets vurderinger og forslag i høringsnotatet
I høringsnotatet ga departementet uttrykk for en viss tvil med henblikk på om det var nødvendig å gjennomføre artikkel 50 i politiregisterlovgivningen, og uttalte følgende om dette:
«I artikkel 50 gis det detaljerte regler om hvordan tilsynsmyndighetene i de ulike landene skal samarbeide i forbindelse med blant annet anmodninger om bistand. Departementet er i tvil om i hvilken grad det er nødvendig å gjennomføre denne bestemmelsen i politiregisterlovgivningen. Det må legges til grunn at Datatilsynet uansett vil forholde seg til bestemmelsene i artikkel 50, som er identiske med artikkel 61 nr. 1 til 7 i forordningen som vil bli gjennomført i den nye personopplysningsloven, uten at disse eksplisitt gjentas i politiregisterlovgivningen. Det bes særlig om Datatilsynets uttalelse til om det er hensiktsmessig å innta bestemmelsen, alternativt at det vises til at den tilsvarende bestemmelsen i regelverket som gjennomfører personvernforordningen gjelder tilsvarende.»
4.8.2 Høringsinstansenes syn
Datatilsynet uttaler følgende om dette i sin høringsuttalelse:
«Som departementet skriver, kommer Datatilsynet, uansett om dette fremgår av politiregisterregelverket eller ikke, til å yte bistand til andre tilsynsmyndigheter i den aktuelle bestemmelsen i direktivet. Således er det ikke strengt nødvendig at våre forpliktelser fremgår av politiregisterlovgivningen. Vi vil likevel foreslå at tilsynsmyndighetens forpliktelse på en eller annen måte fremgår av nasjonalt regelverk.
[…]
Samtidig har vi forståelse for at disse bestemmelsene kanskje er for omfattende til at det er hensiktsmessig å innta innholdet i dem i sin helhet i politiregisterlov og -forskrift. Reglene gjelder heller ikke politiet og påtalemyndighetens forpliktelser ved behandling av personopplysninger, men tilsynsmyndighetens arbeidsform.
Vi mener derfor at det er tilstrekkelig at det inntas en henvisning til den tilsvarende bestemmelsen som gjennomfører personvernforordningen, og at det ikke er nødvendig å innta innholdet i hele artikkel 50 i lov eller forskrift. Vi kan ikke se at det er noe i veien for å gjøre dette juridisk […].»
4.8.3 Departementets vurdering
Departementet har merket seg at Datatilsynet er enig i departementets vurdering om at det ikke er nødvendig å innta ordlyden i artikkel 50 i politiregisterloven eller forskriften. Departementet er videre innstilt på å etterkomme Datatilsynets forslag om at det i forskriften gis en henvisning til den tilsvarende bestemmelsen i forordningen. Dette må imidlertid utstå inntil forordningen er gjennomført i norsk rett.
4.9 Direktivet kapittel VIII: rettsmidler, ansvar og sanksjoner
Kapittel VIII inneholder regler om hvilke rettsmidler den registrerte skal ha for å kunne ivareta sine rettigheter (artikkel 52 til 54), hvem vedkommende kan la seg representere av (artikkel 55), krav om erstatning (artikkel 56) og sanksjoner ved brudd på regelverket (artikkel 57).
4.9.1 Departementets vurderinger og forslag i høringsnotatet
Når det gjelder muligheten til bruk av rettsmidler, skiller direktivet mellom tre ulike situasjoner. Dersom klagen retter seg mot den behandlingsansvarlige eller databehandleren, skal den registrerte både ha klagemulighet til en tilsynsmyndighet og adgang til å bringe saken inn for domstolene, jf. artikkel 52 og 54. I tillegg skal den registrerte ha mulighet til å benytte seg av rettsmidler mot tilsynsmyndigheten, jf. artikkel 53.
Artikkel 52 regulerer ulike sider ved den registrertes adgang til å kunne klage til et uavhengig tilsynsorgan. I henhold til artikkel 52 nr. 1 skal den registrerte ha slik klageadgang uavhengig av eventuelle administrative klageordninger. At den registrerte har en slik rett fremgår uttrykkelig av politiregisterloven § 55 tredje ledd og bestemmelsen nødvendiggjør derved ingen endringer i politiregisterloven.
Artikkel 53 og 54 må ses i sammenheng, idet begge regulerer den registrertes adgang til å kunne saksøke tilsynsmyndigheten, den behandlingsansvarlige og databehandleren uavhengig av andre administrative klageordninger.
Artikkel 53 regulerer den registrertes adgang til å bringe tilsynsmyndighetenes avgjørelser mv. inn for domstolene. Etter artikkel 53 nr.1 skal enhver fysisk eller juridisk person ha rett til å bringe en juridisk bindende avgjørelse truffet av en tilsynsmyndighet inn for domstolene. Etter nr.2 gjelder det samme i de tilfellene der tilsynsmyndigheten unnlater å behandle den registrertes begjæring eller unnlater å underrette den registrerte om fremdrift eller utfallet innen tre måneder. Endelig gis det i nr.3 anvisning på at en rettssak mot tilsynsmyndigheten skal anlegges i den medlemsstat der tilsynsmyndigheten er etablert. Bestemmelsen er delvis ny i forhold til rammebeslutningen, men artikkel 53 tilsvarer artikkel 78 i forordningen. At den registrerte kan saksøke tilsynsmyndigheten uavhengig av administrative klageordninger, innebærer at den registrerte ikke er henvist til å benytte seg av adgangen til å påklage Datatilsynets avgjørelse til Personvernnemnda, jf. politiregisterloven § 60 tredje ledd, før saken kan bringes inn for domstolene.
Etter artikkel 54 skal den registrerte ha rett til å kunne saksøke både den behandlingsansvarlige og databehandleren, dersom vedkommende mener at hans rettigheter i henhold til den lovgivningen som gjennomfører direktivet er krenket. Denne retten skal gjelde uavhengig av andre administrative eller utenrettslige klageordninger. Bestemmelsen tilsvarer artikkel 79 nr. 1 i forordningen. For norske forhold innebærer dette at den registrerte verken må benytte seg av klageadgangen til et overordnet organ etter politiregisterloven § 55 første ledd, eller muligheten til å be Datatilsynet om kontroll etter politiregisterloven § 59 før han eventuelt går til søksmål.
Departementet foreslo at rettighetene etter artikkel 52 nr. 1 og 2 og artikkel 53 gjennomføres i politiregisterloven. At en rettssak mot tilsynsmyndigheten skal anlegges i den medlemsstat der tilsynsmyndigheten er etablert, jf. artikkel 53 nr. 3, følger allerede av lov 17. juni 2005 nr. 90 om mekling og rettergang i sivile saker (tvisteloven) § 4-4 om alminnelig verneting, og er således ikke nødvendig å gjennomføre.
Som nevnt i punkt 4.5.1 oppheves politiregisterloven § 57 som følge av at meldeplikten ikke er videreført i direktivet. Retten til å saksøke tilsynsmyndigheten, den behandlingsansvarlige og databehandleren plasseres derfor i ny § 57, samtidig som § 57 flyttes fra politiregisterlovens kapittel 10 om tilsyn til lovens kapittel 9 om klageadgang og erstatning.
Artikkel 55 omhandler hvem den registrerte kan la seg representere av i saker som er omtalt i artiklene 52 til 54. Det nevnes uttrykkelig at den registrerte kan la seg representere av organer eller sammenslutninger som har som formål å ivareta personvernmessige interesser. Artikkelen sier imidlertid også at dette gjelder dersom det er i samsvar med nasjonal rettspleielovgivning.
Når det gjelder saker om begjæring om kontroll av en tilsynsmyndighet, jf. artikkel 52, setter lovgivningen ingen begrensninger med henblikk på hvem den registrerte ønsker å la seg representere av. Det samme gjelder for så vidt også klageadgangen etter politiregisterloven § 55. Det eneste som kreves i disse tilfellene er at den registrerte utstyrer sin fullmektig med tilstrekkelig fullmakt. Når det gjelder rettssaker, som omtalt i artikkel 53 og 54, gir tvisteloven anvisning på hvem som kan være prosessfullmektig. I tvisteloven § 3-3 er det ikke åpnet for at slike organisasjoner og sammenslutninger som nevnt i artikkel 55 kan opptre som prosessfullmektig. Som følge av dette vil den registrerte heller ikke ha mulighet til å la seg representere av disse dersom han velger å saksøke en tilsynsmyndighet eller den behandlingsansvarlige. Artikkel 55 avstedkommer dermed ingen endringer i politiregisterloven.
Artikkel 56 gir uttrykk for at den registrerte skal ha rett til erstatning for økonomisk og ikke-økonomisk tap ved brudd på det nasjonale regelverket som gjennomfører direktivet. Erstatningskravet skal kunne gjøres gjeldende overfor den behandlingsansvarlige eller eventuelt annen myndighet dersom nasjonal rett gir anvisning på det. Bestemmelsen tilsvarer artikkel 19 i rammebeslutningen, som er gjennomført i politiregisterloven § 56, og krever derfor ingen endring. Det foreslås imidlertid en endring av denne bestemmelsen i punkt 5.1 nedenfor, som ikke har sammenheng med direktivet.
Artikkel 57 stiller krav om at medlemsstatene skal fastsette sanksjoner som skal få anvendelse ved overtredelse av bestemmelser som vedtas i henhold til direktivet. Det heter videre at sanksjonene skal være effektive, stå i rimelig forhold til overtredelsens art og skal ha avskrekkende virkning. Tilsvarende forhold er regulert i rammebeslutningen artikkel 24.
I politiregisterloven er det ikke innført noen særskilt straffebestemmelse. Om dette ble det i Ot.prp. nr. 108 (2008–2009) punkt 15.3.4 uttalt:
«Departementet har vurdert om artikkel 24 tilsier at det bør gis en egen straffebestemmelse i politiregisterloven, men har kommet til at dette ikke er nødvendig. Utvalget synes i sin begrunnelse å legge til grunn at sanksjoner i politiregisterloven utelukkende vil rette seg mot tjenestemenn i politiet og påtalemyndigheten. En slik innfallsvinkel er noe for snever, idet for eksempel også databehandlere vil kunne gjøre seg skyldig i brudd på politiregisterlovens bestemmelser.
Departementet viser imidlertid til at brudd på politiregisterlovgivningen vil kunne straffes etter en rekke bestemmelser i straffeloven 1902 og straffeloven 2005. Særlig sentralt står bestemmelsene om straff for henholdsvis uberettiget befatning med tilgangsdata, uberettiget tilgang til datasystem og brudd på taushetsplikt. I tillegg vil tjenestemenn som bryter bestemmelsene kunne straffes etter de mer generelle bestemmelsene om tjenestefeil eller, dersom forholdet er grovt, for misbruk av stillingen. I lys av dette kan man ikke se at er behov for særskilte straffetrusler i politiregisterloven.»
Man så imidlertid i etterkant at man i forbindelse med vedtakelsen av politiregisterloven i for stor grad har fokusert på straffesanksjonering ved brudd på loven. Av de grunner som er gjengitt ovenfor foreslo departementet fortsatt ikke sanksjoner i form av straff eller ileggelse av gebyrer. Derimot mente man at direktivets krav om effektive og avskrekkende sanksjoner også kan oppfylles ved innføring av tvangsmulkt, tilsvarende bestemmelsene i lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) § 47 og lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger (helseregisterloven) § 33.
4.9.2 Høringsinstansenes syn
Ad forslag til politiregisterloven ny § 57
Kripos anfører at den registrertes adgang til å gå til søksmål fremgår av forvaltningsloven § 27 b, og at forslaget til ny § 57 derfor er unødvendig. Kripos anfører videre at forslaget går lenger enn hva direktivet legger opp til. Det anføres at begrepet «without prejudice to» i artikkel 54 ikke kan forstås slik at retten til effektive rettsmidler skal gjelde uten at retten til administrative eller utenomrettslige klageordninger er benyttet. Derimot må begrepet forstås slik at retten til effektive rettsmidler skal gjelde uten at retten til administrative eller utenomrettslige klageordninger dermed påvirkes. Politidirektoratet slutter seg til merknaden fra Kripos.
Ad endringsforslaget i politiregisterloven § 60
Politidirektoratet og Kripos har i og for seg ingen innvendinger mot at det foreslås tvangsmulkt, men begge gir uttrykk for at det bør gis nærmere regler for hvilke type brudd på regelverket tvangsmulkt kan ilegges for, hvilken alvorlighetsgrad som kreves og hvilken størrelsesorden mulkten skal ha. Det anføres videre at ordningen kan ramme Kripos urimelig hardt på grunn av Kripos rolle som behandlingsansvarlig for de sentrale registrene. Som eksempler nevnes tilfeller der avviket knytter seg til behandlingen av opplysninger i et politidistrikt, eller der Kripos ikke tildeles tilstrekkelige ressurser for å avhjelpe avviket. Politidirektoratet foreslår at det gis adgang til å søke regress hos den virksomhet som i praksis har hatt eller har mulighet til å påvirke den uriktige behandlingen.
4.9.3 Departements vurdering
Ad forslag til politiregisterloven ny § 57
Når det gjelder forslaget til politiregisterloven § 57 finner departementet, på bakgrunn av uttalelsene fra Politidirektoratet og Kripos, grunn å gå noe nærmere inn på problemstillingen enn hva man gjorde i høringsnotatet. Direktivet artikkel 54 knesetter – på samme måte som artikkel 79 i forordningen – prinsippet om at den registrerte skal kunne saksøke den behandlingsansvarlige dersom han mener at hans rettigheter etter det aktuelle regelverket er krenket. At den registrerte i slike tilfeller kan gå til søksmål følger uansett av tvisteloven, og i det perspektivet hadde det ikke vært nødvendig å gjennomføre artikkel 54 i politiregisterloven, bortsett fra at det muligens uansett er nødvendig å få tydelig frem at også databehandleren kan saksøkes. Når departementet likevel valgte å foreslå at både artikkel 54 og artikkel 53 skulle implementeres slik det kommer til uttrykk i forslaget til § 57, var dette dels begrunnet i å tydeliggjøre hvem som kunne saksøkes, og dels for å eliminere eventuelle tvilstilfeller.
Departementet har merket seg at Politidirektoratet og Kripos er av den oppfatning at den registrertes adgang til å gå til søksmål fremgår av forvaltningsloven § 27 b, og at forslaget til ny § 57 derfor er unødvendig. Departementet er av flere grunner ikke enig i dette. Forvaltningsloven § 27 b gir anvisning på at det forvaltningsorgan som har truffet vedtaket, kan bestemme at søksmål om ugyldighet av forvaltningsvedtaket eller krav om erstatning som følge av vedtaket ikke skal kunne reises uten at vedkommende part har benyttet sin adgang til å klage over vedtaket. Det fremgår uttrykkelig av politiregisterloven § 3 første ledd nr. 2 at loven ikke gjelder for behandling av opplysninger som er en del av politiets forvaltningsvirksomhet. Når politiet behandler opplysninger etter politiregisterloven skjer dette med andre ord ikke i egenskap av å være forvaltningsorgan, og det samme gjelder for påtalemyndigheten. Man kan derfor ikke uten videre legge til grunn at forvaltningsloven kommer til anvendelse. Riktig nok har man i politiregisterloven § 55 åpnet for at nærmere bestemte avgjørelser av den behandlingsansvarlige kan påklages til overordnet organ, men heller ikke denne reguleringen kan tas til inntekt for at forvaltningsloven § 27 b kommer til anvendelse i disse tilfellene. Det fremgår av politiregisterloven § 55 annet ledd at bestemmelsene i forvaltningsloven kapittel VI kommer til anvendelse så langt de passer, mens forvaltningsloven § 27 b er plassert i forvaltningsloven kapittel V. Videre kan man ikke se bort fra at søkmål mot den behandlingsansvarlige kan gjelde andre forhold enn de som er listet opp i § 55, og som derved ikke er gjenstand for klagebehandling. I disse tilfellene, og i tilfeller der søksmålsgrunnlaget går ut på noe annet enn ugyldighet av vedtaket eller erstatning, ville man uansett være utenfor anvendelsesområde av forvaltningsloven § 27 b. Endelig kan det nevnes at § 27 b heller ikke fanger opp eventuelle søksmål mot databehandleren, idet denne ikke treffer vedtak. På denne bakgrunn kan man ikke slutte seg til disse høringsinstansenes standpunkt om at forvaltningsloven § 27 b regulerer de rettigheter som er nedfelt i artikkel 54 i direktivet. Samtidig illustrerer uttalelsene at det er behov for regulering av søksmålsadgangen for derved å eliminere uklarheter og misforståelser. På denne bakgrunn fastholder departementet forslaget til § 57.
Ad endringsforslaget i politiregisterloven § 60
Når det gjelder Politidirektoratet og Kripos sine innspill om at det bør gis nærmere regler for hvilke type brudd på regelverket tvangsmulkt kan ilegges for, viser departementet til at ordlyden i forslaget om tvangsmulkt er identisk med de tilsvarende bestemmelsene i personopplysningsloven og helseregisterloven, der det heller ikke er gitt nærmere anvisning på hvilke brudd som kan føre til ileggelse av tvangsmulkt eller hvilken størrelsesorden mulkten skal ha. Departementet kan ikke se at det er behov for eller hensiktsmessig å regulere disse forholdene i politiregisterloven. Departementet antar videre at Datatilsynet er best egnet til å fastlegge praksis hva gjelder bruk av tvangsmulkt, og forslaget til endring i politiregisterloven § 60 fastholdes derfor.
Utover dette er departementet kjent med de særlige utfordringene Kripos som behandlingsansvarlig for politiets sentrale registre kan møte i forbindelse med ilegges av mulkt eller pålegg ved avvik, slik dette også beskrives av Politidirektoratet. Departementet er av den oppfatning at spørsmålet om hvem som dekker kostnadene i disse tilfellene ikke er egnet for lovregulering, men at disse forholdene må finne en administrativ løsning.