Strategi for godt personvern i justissektoren mv.

Strategi for godt personvern i justissektoren mv. Politi, påtalemyndighet, domstol og kriminalomsorg - offentlige kontrollmyndigheter og utlendingsforvaltningen 15. mars 2012

Innholdsfortegnelse Sentrale personvernprinsipper... 3 Personvern i justissektoren - en rettsverngaranti... 4 Særtrekk og utviklingstrekk ved justissektoren... 5 Datatilsynets mål for sektoren... 7 1 Politi- og påtalemyndighet... 8 2 Domstolene... 15 3 Kriminalomsorgen... 17 4 Offentlige kontrollmyndigheter... 19 5 Utlendingsforvaltningen... 21 2

Sentrale personvernprinsipper Legalitetsprinsippet Behandling av personopplysninger er et tiltak som griper inn i den enkeltes personvern. Enhver behandling av personopplysninger krever derved et rettslig grunnlag, jf EMK art 8. Ved vurderingen av hvilket rettslig grunnlag som kreves, og ved fortolkningen av det aktuelle grunnlaget, vil legalitetsprinsippet være en sentral tolkningsregel. Jo mer inngripende behandlingen er, desto sterkere og klarere må det rettslige grunnlaget være. Samtykke fra den registrerte er ofte ansett å være det foretrukne behandlingsgrunnlag, idet samtykkealternativet best ivaretar den enkeltes selvbestemmelsesrett. I mange tilfeller vil imidlertid ikke samtykke være et egnet rettsgrunnlag, typisk der hvor styrkeforholdet mellom den registrerte og den behandlingsansvarlige er for ubalansert. For de mest inngripende behandlingene vil legalitetsprinsippet medføre et krav om hjemmel i formell lov. Mindre inngripende behandling kan likevel gjennomføres uten samtykke eller lovhjemmel, dersom behandlingen er nødvendig for å nå nærmere oppregnede formål. Formålsbestemthet I henhold til formålsbestemthetsprinsippet kan personopplysninger bare behandles for å nå de formål som er særlig oppregnet i EMK art 8. Av dette følger både at behandlingsformålet må være konkret definert på forhånd og at opplysningene ikke uten videre kan benyttes til andre formål. Det kreves også at formålet er relevant, det vil si at formålet må være saklig begrunnet i den behandlingsansvarliges virksomhet. Formålet er styrende for den behandlingen som kan skje, både med tanke på hvilke opplysninger som kan behandles og når opplysningene skal slettes. Proporsjonalitet Forholdsmessighetsprinsippet innebærer et krav om at det inngrepet som tiltaket representerer må stå i et rimelig forhold til det formålet som søkes oppnådd ved behandlingen. Jo mer inngripende tiltaket er, desto mer tungtveiende må formålet være. Forholdsmessighetsprinsippet kommer blant annet til uttrykk gjennom et krav om nødvendighet, jf EMK artikkel 8. Informasjon og innsyn Den som er registrert har krav på informasjon om behandlingen, og rett til innsyn i de opplysningene som behandles. Rett til informasjon og innsyn er nødvendige forutsetninger for at den registrerte skal kunne foreta informerte valg og for øvrig ivareta egne rettigheter som registrert. Allmennheten skal ha rett til innsyn i hvilke behandlinger av personopplysninger som skjer. En generell innsynsrett er nødvendig for at den enkelte skal kunne overskue hvorvidt man er registrert, og har rett til å motta ytterligere informasjon, få innsyn mm. 3

Personvern i justissektoren - en rettsverngaranti Personvernet springer ut av ideen om enkeltmenneskets ukrenkelighet og krav på respekt fra andre mennesker, respekt for egen integritet og privatlivets fred. Personvernet skal sikre enkeltindividers mulighet for privatliv, selvbestemmelse og selvutfoldelse. Retten til privatliv følger blant annet av den europeiske menneskerettskonvensjon (EMK) artikkel 8 og EUs personverndirektiv (95/46 EF). Personopplysningsvernet, altså den enkeltes rett til kontroll med egne personopplysninger, er en sentral personvernrettighet. Vernet er kodifisert i norsk rett gjennom blant annet personopplysningsloven, helseregisterloven og politiregisterloven (sistnevnte forventes i kraft 1. juli 2012). Bestemmelser om taushetsplikt er også begrunnet i personvernhensyn, særlig i konfidensialitetshensynet. Denne enkeltes rett til å bestemme over egne personopplysninger er ikke absolutt. Hensynet til samfunnets interesser vil i mange tilfeller veie tyngre enn hensynet til den enkeltes personvern. Dette er særlig tydelig innen nettopp justissektoren i vid forstand (politi, påtalemyndighet og domstoler, offentlige kontrollmyndigheter og utlendingsforvaltningen). Felles for disse områdene er at den enkeltes individuelle interesser står i konflikt med svært tunge samfunnsinteresser, som for eksempel kriminalitetsbekjempelse og samfunnssikkerhet. Innen justissektoren virker personvernet som en rettsverngaranti, idet den setter grenser for statens maktbruk overfor dens borgere. Ettersom selvbestemmelsesretten er marginalisert innen sektoren, er det ekstra viktig at de andre personvernprinsippene ivaretas. Det gjelder særlig forholdsmessighet, legalitet og informasjon. Forholdsmessighetsprinsippet innebærer et krav om at det inngrepet som et tiltak representerer skal stå i et rimelig forhold til det formålet som søkes oppnådd. Hvor inngripende et tiltak er, må vurderes konkret med bakgrunn i blant annet opplysningenes art og omfang, graden av tvang, hva som er formålet med behandlingen og om tiltaket innebærer en spredning av opplysninger. I forholdsmessighetsprinsippet ligger også et krav om nødvendighet. Legalitetsprinsippet innebærer et krav om at det rettslige grunnlaget for behandlingen må stå i forhold til det inngrepet som tiltaket representerer. Jo mer inngripende behandlingen er, desto sterkere og klarere må det rettlige grunnlaget være. Samtykke er dårlig egnet som rettslig grunnlag for behandling av personopplysninger innen justissektoren. Det vises her til at det foreligger en stor ubalanse i forholdet mellom den enkelte og de offentlige myndighetene som undergraver den enkeltes frivillighet. Dessuten har lovgiver i mange sammenhenger funnet at tiltaket er så samfunnsnyttig at den enkeltes interesser uansett må settes til side. De mest inngripende tiltakene må ha hjemmel i formell lov, fastsatt i Stortinget. Det er nødvendig både for å sikre forutberegnlighet for borgerne og for å sikre at forholdsmessigheten i tiltaket er belyst og vurdert i en bred, demokratisk lovprosess. Da behandlingene av personopplysninger innen sektoren for en stor del er hjemlet i lov, blir legalitetskontrollen et helt sentralt element i Datatilsynets oppfølging av sektoren. Retten til informasjon er en grunnleggende personvernrettighet. For det første medfører informasjon at den enkelte gis en viss kontroll med egne opplysninger, idet man kan forutberegne hvilke 4

behandlinger som iverksettes i forbindelse med de valg man gjør. For det andre er informasjon en nødvendig forutsetning for at den registrerte skal kunne ivareta egne rettigheter ved behandlingen, for eksempel rett til innsyn i opplysningene. Behandlingsregler og rettigheter for den registrerte Til personopplysningsvernet hører også krav til hvordan personopplysninger skal behandles, såkalte behandlingsregler. Særlig viktige er krav til opplysningenes kvalitet, krav til informasjonssikkerhet og plikt til sletting. I tillegg oppstiller loven et sett med rettigheter for den registrerte, for eksempel rett til innsyn i opplysninger om en selv, og rett til å kreve retting og sletting av personopplysninger. Systemkrav Godt personvern forutsetter klare ansvarsforhold, god infrastrukturer og gode informasjonssystemer. Manglende opplysnings- og systemkvalitet vil kunne gi en rekke uønskede konsekvenser og skade så vel ideelle som økonomiske interesser. Innen justissektoren vil slike feil kunne få svært alvorlige konsekvenser for den enkelte, for eksempel urettmessig strafferettslig forfølgning. Særtrekk og utviklingstrekk ved justissektoren Rettsstaten kjennetegnes ved en balanse mellom den enkeltes rett til frihet og til å bestemme over sitt eget liv, og statens muligheter for å gripe inn overfor enkeltindivider. Som behandlet ovenfor finnes det en rekke prinsipper rettssikkerhetsgarantier nedfelt i nasjonalt og internasjonalt regelverk som skal ivareta denne balansen. De største inngrepene staten kan gjøre overfor enkeltindivider vil finne sted nettopp i justissektoren. Kravene til hvordan rettssikkerhetsgarantiene er utformet på dette feltet må derfor være strenge, og regelverket må også henge med i en tid hvor teknologien medfører store endringer i samfunnet og utvider myndighetens muligheter til å føre kontroll med den enkelte. Statisk regelverk ny teknologi Regelverket innenfor justissektoren gir offentlige myndigheter muligheter til å gjøre betydelige inngrep i den enkeltes private sfære. Da dette regelverket er fundert på varige og allmenngyldige prinsipper som legalitet og proporsjonalitet, er store deler av regelverket statisk av natur. Prinsippene endrer seg lite over tid, dermed blir også lovene og forskriftene som kodifiserer dette i liten grad endret. Dette er også slik det må være på justisfeltet de viktige rettsikkerhetsgarantiene og prinsippene skal ikke tilsidesettes ved hver mindre endring i samfunnet. I noen tilfeller vil likevel utviklingen i samfunnet, spesielt med hensyn til teknologi, medføre at et tiltak som tidligere innebar et mindre inngrep i privatlivet nå medfører et mye større inngrep. Et eksempel på dette er innhenting av teledata. Det er himmelvid forskjell på den informasjonen som politiet kunne hente inn fra Televerket på 60- og 70-tallet, og den informasjonen man i dag kan hente ut fra ekomtilbydere. Et annet eksempel er den mengden informasjon som kan hentes ut fra biologisk materiale i dag, sammenlignet med for noen få år siden. Selv om mengden tilgjengelig informasjon har økt enormt på grunn av den teknologiske utviklingen, er det ikke gitt at regelverket 5

som gir offentlige myndigheter retten til å innhente og sammenstille informasjonen har tatt høyde for dette. I mange tilfeller har vilkårene for å foreta visse inngrep overfor enkeltindivider ikke blitt vurdert på nytt i lys av den teknologiske utviklingen, til tross for at tiltaket har blitt mer inngripende enn det opprinnelig var. Ny teknologi påvirker holdninger i samfunnet, både hos enkeltpersoner og offentlige myndighetsorganer. Ny teknologi oppleves som spennende, og kan utvilsomt bidra til effektiv myndighetsutøvelse. Med bakgrunn i hvor positiv teknologiutviklingen er for samfunnet som et hele, kan man ikke se bort fra at offentlige myndighetsorganer er mindre kritiske til om nye tiltak som baserer seg på ny teknologi er proporsjonalt med formålet. Proporsjonalitetsvurderingen må etter tilsynets vurdering foretas uavhengig av hvor lett informasjonen gjøres tilgjengelig av teknologi, enten det er snakk om lagring av teletrafikkdata eller kameraovervåking. Uangripelige formål Justissektoren jobber blant annet med å bekjempe alvorlige lovbrudd, som terror, drap, vold og overgrep mot barn. Dette er formål som de aller fleste mener er svært viktige, og mange vil også mene at ingen midler bør stå ubenyttet. Bekjempelse av alvorlig kriminalitet blir ofte et såkalt uangripelig formål i diskusjoner om statens maktbruk. Argumenter mot at politiet skal bruke svært inngripende eller svært vidtrekkende metoder vil lett tolkes slik at Datatilsynet ikke tar kriminalitetsbekjempelse på alvor. Proporsjonalitetsprinsippet og legalitetsprinsippet må stå like sterkt ved en vurdering av metoder for oppklaring av alvorlige lovbrudd som ved mindre alvorlige lovbrudd. Selv om formålet er godt skal man kunne diskutere om inngrepet som foretas overfor enkeltpersoner virkelig er tilstrekkelig hjemlet i lov, at det er proporsjonalt ut fra formålet, og at det er nødvendig i den konkrete situasjonen. Kriminalitetsbekjempelse som primærformål Personopplysninger blir ofte benyttet til kriminalitetsbekjempelse som et sekundærfomål. I dette ligger at politiet benytter opplysninger som allerede behandles for andre formål, når de utøver sin virksomhet. Disse opplysningene hentes i hovedsak inn med hjemmel i straffeprosesslovens bestemmelser. Med implementering av det såkalte datalagringsdirektivet i norsk rett ble imidlertid tele- og internettleverandørene pålagt å hente inn og lagre opplysninger som de selv ikke har behov for - kun for å ivareta politiets senere, eventuelle behov. Kriminalitetsbekjempelse er altså primærformålet med den aktuelle behandlingen av personopplysninger hos ekomleverandørene. Datatilsynet er sterkt imot en slik utvikling. Dersom politiets behov skal virke bestemmende for blant hvilke opplysninger som til enhver tid skal genereres, lagres og gjøres tilgjengelige i samfunnet, så undergraves hele personopplysningsregelverkets system - nemlig at det er den behandlingsansvarlige sin kompetanse og behov som angir de lovlige grensene for dennes behandling av personopplysninger. 6

Datatilsynets mål for sektoren Datatilsynets mål er å: bevare det tillitsbaserte samfunnet, hvor iverksettelse av kontrolltiltak overfor den enkelte borger må begrunnes særskilt kreve demokratiske prosesser før iverksettelse av inngripende tiltak sikre at offentlig myndighetsutøvelse skjer innenfor rammene av de fullmakter som Stortinget har gitt sørge for informasjon og åpenhet omkring offentlig myndighetsutøvelse medvirke til at det etableres gode behandlingsregler innen sektoren, og påse at disse etterleves bistå den enkelte til å ivareta sine rettigheter motvirke at personopplysninger får evig liv. 7

1 Politi- og påtalemyndighet Sektoren er preget av stadig økt internasjonalisering, også utover europeisk nivå. Store og mektige nasjoner som USA etablerer regler som direkte og indirekte får virkning for europeiske rettsubjekter, også innen justissektoren. Sektoren er også preget av en teknologisk utvikling som muliggjør nye, kostnadseffektive metoder for kontroll med borgerne. På nasjonalt nivå forventes utviklingen innen sektoren også å bli preget av hendelsene 22. juli 2011. 1.1 Politiregisterloven Tradisjonelt har behandling av personopplysninger i forbindelse med straffesaksbehandlingen vært unntatt fra personopplysningslovens virkeområde og Datatilsynets kompetanse. Man har sett at det foreligger spesielle hensyn i straffesaksbehandlingen, som ikke uten videre lar seg harmonere med alminnelig personopplysningsvern. Med bakgrunn i NOU 2003:21 Kriminalitetsbekjempelse og personvern, ble det med Ot.prp. nr 108 (2008-09) fremmet forslag om en egen politiregisterlov for å balansere og harmonisere personvernhensyn mot hensynet til en effektiv straffesaksbehandling. Politiregisterloven ble vedtatt i Stortinget 28. mai 2010, og er forventet å tre i kraft 1. juli 2012. I desember 2005 fremmet EU-kommisjonen forslag til ny rammebeslutning om personvern ved behandling av opplysninger i forbindelse med politi- og strafferettssamarbeid. Rammebeslutningen ble vedtatt på Rådsmøtet 27. november 2008. Den regulerer behandling av personopplysninger innenfor rammene av politisamarbeid og annet rettslig samarbeid i straffesaker. Instrumentet må ses på bakgrunn av at det er iverksatt ulike tiltak for å lette informasjonsflyten innad i EU-området. En slik utstrakt informasjonsflyt nødvendiggjør felles krav til hvordan opplysningene behandles. Den norske politiregisterloven er forutsatt å gi et personopplysningsvern som er tilfredsstillende for økt utveksling av opplysninger innen sektoren mellom de ulike landene i EU/EØS. I februar 2012 la EU-kommisjonen frem forslag til et nytt direktiv, som skal regulere myndighetenes behandling av personopplysninger i forbindelse med forebygging og oppklaring av straffbare forhold. Hvordan det endelige materielle innholdet i direktivet vil bli, og hvorvidt implementeringen nødvendiggjør endringer i politiregisterloven er foreløpig uklart. Utfordringer Den største og mest nærliggende utfordringen innen sektoren er å implementere det nye regelverket på en tilfredsstillende måte. Dette påvirkes særlig av to faktorer, nemlig politiets faktiske muligheter til etterlevelse og etatens egne holdninger til regelverket. Det er en kjensgjerning at politiets informasjonssystemer vanskelig vil kunne tilfredsstille de krav som politiregisterloven oppstiller - blant annet med tanke på informasjonssikkerhet. For at politiet skal settes i stand til å etterleve det nye regelverket er det nødvendig både å forbedre eksisterende systemer, og å utvikle nye. 8

Aktørene Justis- og politidepartementet har det overordnede ansvaret for at grunnleggende garantier for rettssikkerhet blir opprettholdt og utviklet. Et overordnet mål er å sikre samfunnets og enkeltmenneskets trygghet. Departementet har det overordnede ansvaret for både rettspleielovgivningen, personopplysningsloven og politiregisterloven. Politidirektoratet er en del av den sentrale politiledelse og et forvaltningsorgan underlagt Justisdepartementet. Hovedoppgavene er faglig ledelse, styring, oppfølging og utvikling av politidistriktene og politiets særorganer. KRIPOS vil bli behandlingsansvarlig i henhold til politiregisterloven for de fleste sentrale politiregistre. PDMT vil bli ansvarlig i henhold til politiregisterloven for informasjonssikkerheten i politiets registre. Personvernrådgivere i de behandlingsansvarlige virksomheter. Personvernrådgiveren skal blant annet bistå andre tjenestemenn for å sikre at bestemmelsene i politiregisterloven og forskriften blir fulgt, påse at behandlingsansvarlig har et system for internkontroll, påpeke brudd på politiregisterloven eller forskriften overfor behandlingsansvarlig og gi råd og veiledning til behandlingsansvarlig om behandling av opplysninger og reglene for dette. Den høyere påtalemyndighet ved Riksadvokaten. Han fatter avgjørelser i enkeltsaker, behandler klagesaker, og opptrer også av og til som anklager i straffesaker for domstolene, særlig når viktige prinsipielle spørsmål skal behandles i Høyesterett. Hans rundskriv og direktiver er styrende for statsadvokater og politiadvokater. De lokale politidistriktene i spørsmål hvor den lokale politimester er behandlingsansvarlig. Datatilsynets posisjon - Datatilsynet vil arbeide for at politiregisterloven implementeres tilfredsstillende innen sektoren, og påskynde eventuelle endringer som viser seg å være nødvendige for enten å etablere tilstrekkelig vern av de registrerte eller for å oppfylle internasjonale forpliktelser. Datatilsynets strategi - Datatilsynet skal søke å etablere et samarbeid med de behandlingsansvarlige og andre sentrale aktører, for å sørge for at loven implementeres så snart som mulig og på en måte som gir et så godt vern som mulig. Herunder kan tilsynet gi råd og veiledning til de behandlingsansvarlige, og underbygge behovet for økte ressurser for at sektoren skal kunne etterleve lovens bestemmelser. - Datatilsynet skal søke å etablere god kontakt med personvernrådgivere innen sektoren. Disse skal gis det samme opplæringstilbudet som personvernombudene, og det skal vurderes å arrangere spesialtilpassede kurs for denne gruppen. Det skal oppnevnes minst èn fast kontaktperson i tilsynet for personvernrådgiverne. - Datatilsynet skal gjennomføre kontroller overfor de behandlingsansvarlige, for så snart som mulig å belyse om og hvordan loven er implementert, og hvordan den virker i praksis. Denne kunnskapen skal tilbakeføres til sektoren selv. - Datatilsynet skal holde øye med utviklingen av et felles europeisk regelverk for behandling av personopplysninger i strafferettspleien. 9

1.2 Lov om Schengen informasjonssystem (SIS) Den behandling av personopplysninger i Schengen Informasjonssystem som skjer i Norge er regulert i egen lov, SIS-loven. Loven implementerer Norges forpliktelser i henhold til Schengenavtalen, og er ment å sikre slik informasjonsflyt mellom de europeiske landene som er nødvendig for å innføre og opprettholde passfrihet innen EU-området. Informasjonssystemet er under revisjon i EU, og skal munne ut i det såkalte SIS-II. Endringene medfører at behandlingene som skjer i systemet utvides ift dagens situasjon. Det er først og fremst Politidirektoratet som representerer Norges i dette arbeidet. Datatilsynet har kontrollkompetanse overfor den behandlingsansvarlige for SIS, Sirenekontoret ved KRIPOS. Datatilsynet er fullverdig representant i Joint Supervisory Authority SIS. Gruppen, som består av avtalelandene, skal sørge for ensartete praktisering og sikre samarbeid mellom landene. Store deler av arbeidet skjer gjennom et løpende inspeksjonsprogram, hvor Sirenekontorene må besvare tilsynenes spørsmål - gjerne i form av spørreskjemaer. Det utarbeides felles rapporter som oversendes art 29 gruppen. Utfordringer Datatilsynet mottar svært få henvendelser vedrørende SIS, og mistenker derfor at det er lite kunnskap om dette i befolkningen. Det er varslet at innføring av SIS-II vil medføre endringer også i den rettslige reguleringen av SIS. Tilsynet ser ikke bort fra at endringene vil medføre dårligere vern av den enkelte, i form av økt registrering. Datatilsynets posisjon - Datatilsynet skal bidra til at gjeldende SIS-lov etterleves og at de registrerte får ivaretatt sine rettigheter. Vi skal følge med på utviklingen av nytt regelverk og nye informasjonssystemer, og identifisere hvilken betydning endringene får. Datatilsynets strategi - Datatilsynet skal bidra til økt kunnskap i befolkningen om Schengen informasjonssystem. - Datatilsynet skal følge opp anbefalinger i rapporten fra den evalueringen som ble gjennomført høsten 2011. - Datatilsynet skal ha jevnlig kontakt med SIRENE-kontoret ved KRIPOS, og løpende vurdere behovet for å følge opp med kontroller. 1.3 Politiets sikkerhetstjeneste (PST) Behandling av personopplysninger i PST er gitt egne bestemmelser i politiregisterloven. Generelt kan det sies at PST har et større spillerom ved behandling av personopplysninger enn det tradisjonelle politiet har etter loven. PST er i tillegg unntatt fra Datatilsynets tilsynskompetanse, idet tilsynskompetansen ligger hos Stortingets eget kontrollutvalg for de hemmelige tjenestene (EOSutvalget). 10

Utfordringer Datatilsynet har ikke mulighet verken til å kontrollere hvorvidt tjenesten etterlever gjeldende regelverk eller å påvirke rettsanvendelsen i PST. Flere av hovedprinsippene i den nye politiregisterloven gjelder ikke for PST. I forhold til denne tjenesten er Datatilsynet kun gitt mulighet til å virke som ombud. PST sine vide fullmakter springer ut av tjenestens karakter; hensikten med tjenesten er at virkemidlene ikke skal være allment kjent og at den skal være underlagt et spesielt kontrollsystem. Selv om Datatilsynet aksepterer behovet for en sikkerhetstjeneste som, naturlig nok, ikke opererer i full åpenhet, skaper dette utvilsomt utfordringer i forhold til personvernet. En del av de metodene PST bruker er problematiske fra et personvernståsted. Det er derfor særlig viktig med åpenhet omkring politiets fullmakter og aktiviteter, og det lovarbeidet som gjøres på området. PST legger jevnlig fram trusselvurderinger. Her redegjør etaten for hvordan trusselbildet mer generelt og mot Norge spesielt ser ut. Trusselvurderingene blir ofte etterfulgt av en generell debatt om trusler og virkemiddelbruk. Datatilsynet forventer en diskusjon omkring hvilke metoder PST har og eventuelt bør få i fremtiden, særlig i lys av terroraksjonen 22. juli 2011, trolig i etterkant av 22-julikommisjonens rapport. PSTs metodebruk vil også drøftes i oppfølgingen av Metodekontrollutvalget ( (NOU 2009:15). Aktørene Justis- og politidepartementet har det overordnede ansvaret for at grunnleggende garantier for rettssikkerhet blir opprettholdt og utviklet. Et overordnet mål er å sikre samfunnets og enkeltmenneskets trygghet. Departementet har det overordnede ansvaret for både rettspleielovgivningen, personopplysningsloven og lov med kontroll av hemmelige tjenester Påtalemyndigheten ved Det nasjonale Statsadvokatembetet har påtalekompetanse og fagansvar for de sakene som etterforskes av PST. Politidirektoratet er en del av den sentrale politiledelse og et forvaltningsorgan underlagt Justisdepartementet. Hovedoppgavene er faglig ledelse, styring, oppfølging og utvikling av politidistriktene og politiets særorganer EOS-utvalget er et kontrollorgan som er oppnevnt av Stortinget for å føre kontroll med etterretnings-, overvåkings- og sikkerhetstjeneste som utøves av eller på vegne av offentlige myndigheter til beskyttelse av nasjonale sikkerhetsinteresser. Politiets sikkerhetstjeneste (PST) er den nasjonale sikkehetstjenesten som skal etterforske og forebygge angrep mot nasjonens sikkerhet og selvstendighet. PST er organisert som PST er i politifaglige og administrative spørsmål underlagt Justisdepartementet, men det i påtalespørsmål er underlagt påtalemyndigheten. Leder av PST rapporterer direkte til Justisministeren i alle saker av viktighet. Datatilsynets posisjon - Datatilsynet skal jobbe for at de grunnleggende rettssikkerhetsgarantier som domstolskontroll, åpenhet, innsyn og klageadgang i rimelig ustrekning også skal gjelde for PST. - Datatilsynet mener at det bør være størst mulig åpenhet rundt PST sitt arbeid, i form av for eksempel statistikk. Dokumentasjon vedrørende tjenestens metoder og effektivitet må i det minste forventes fremlagt når lovgiver vurderer å gi tjenesten nye virkemidler eller tiltak. 11

- Datatilsynet skal skaffe mest mulig kunnskap om PSTs metodebruk og påpeke på hvordan dette utfordrer personvernet. - Datatilsynet skal ha kontakt med de organer som har det faglige og administrative ansvar for PST - Datatilsynet skal overføre sin kompetanse om personvernutfordringer knyttet til personvern generelt og metodebruk spesielt til EOS-utvalget. Datatilsynets strategi - Datatilsynet skal avholde jevnlige kontaktmøter med PST. - Datatilsynet skal ha jevnlig kontakt med personvernrådgiver i PST. - Datatilsynet skal holde jevnlige kontaktmøter med EOS-utvalget. - Datatilsynet skal delta aktivt i debatten om politimetoder, personvern og rettssikkerhet. - Datatilsynet skal følge fremleggelsen av PSTs årlige trusselvurderinger nøye og særlig være på vakt på beskrivelse av et overdrevet trusselbilde. - Datatilsynet skal utarbeide en standard kjerneargumentasjon for bruk diskusjonen som alltid følger i etterkant av trusler mot samfunnet. - Datatilsynet skal følge arbeidet med oppfølgingen av metodekontrollutvalget tett og delta i debatten om politimetoder. 1.4 Politiets metodebruk Politiets metodebruk har blitt gjennomgått en rekke ganger, senest i NOU 2009:15 Skjult informasjon åpen kontroll (Metodekontrollutvalget). Politiets metodebruk er i stadig utvikling. Dette skyldes ikke minst utvikling av ny teknologi. Ny teknologi gir muligheter for å innføre nye tiltak, som man ikke tidligere har overskuet muligheten av. Dette gjelder for eksempel bruk av kjennetegngjenkjenningssystemer og programvare som kan fjernavlese informasjon fra ulike informasjonssystemer. Ny teknologi medfører også at tiltak som allerede er innført blir billigere, enklere og mer tilgjengelige, slik at den faktiske terskel for å ta disse i bruk senkes. Dette gjelder for eksempel DNA-analyser, som i dag koster en brøkdel av hva det kostet da metoden ble innført. Den teknologiske utviklingen har også medført at ulike overvåkingssystemer har blitt mer presise enn tidligere og i større grad kan automatiseres. Som påpekt ovenfor er situasjonen på justissektoren særlig utfordrende fordi regelverket her er utpreget statisk, mens teknologi og metodebruk er av dynamisk karakter. Datatilsynet har observert at politiet i flere saker har iverksatt etterforskning basert på samtykke fra den enkelte. Dette var for eksempel tilfelle i en voldtektssak i Bergen der politiet tilskrev over hundre menn og bad dem avlegge en såkalt frivillig DNA-prøve. Datatilsynet mener en slik praksis er uheldig. Det er vanskelig å anse frivilligheten som reell fordi en del av de som blir anmodet om å stille nok vil frykte å få mistanken rettet mot seg dersom de, av helt legitime grunner, nekter å avlegge DNAprøve. 12

Tilsynet venter også at det vil bli en debatt om hvorvidt vilkårene for å innhente DNA i etterforskningsøyemed skal senkes. Innføringen av datalagringsdirektivet åpnet for lagring av all trafikkdata i seks måneder uten noen forutgående vurdering av de registrertes skyld. Det har av enkelte også vært foreslått at leverandører av innholdstjenester skal omfattes av lagringsplikten, f eks chat, søkemotorer og sosiale nettsamfunn. Utviklingen har også gått i en retning der politiet i større grad har fått hjemmel til skjult tvangsmiddelbruk. En lovendring i 2001 åpnet for telefonavlytting, romavlytting og hemmelige vitneførsel. Høyesterett åpnet i en kjennelse fra juni 2011 (skal finne referanse) for at anonym vitneførsel også kan finne sted ved for å avsløre proforma ekteskap mellom utlendinger og nordmenn. I tillegg diskuteres det å innføre nye etterforskningsmetoder, for eksempel dataavlesning. Terskelen for kriminalisering senkes stadig, blant annet er det foreslått å kriminalisere planlegging av soloterrorisme. Datatilsynet aksepterer at politiet ved alvorlige forbrytelse kan benytte skjulte tvangsmidler og selvsagt at politiet også får ta i bruk ny teknologi i etterforskningen. Samtidig vil vi understreke betydningen av at viktige rettsikkerhetsgarantier ivaretas, og at alle tiltak og metoder vurderes opp mot prinsippene om forholdsmessig og formålbestemt lagring. Datatilsynets posisjon - Datatilsynet skal jobbe for mest mulig åpenhet i diskusjonen om politiets tvangsmidler. - Datatilsynet vil aktivt argumentere mot ethvert forsøk på å utvide kretsen av lagringspliktige eller andre tiltak som i praksis innebærer at innholdsdata blir gjenstand for lagring. - Datatilsynet skal etterspørre dokumentasjon for at metoder som PST benytter eller som foreslås innført, er effektive og påse at personvernkonsekvensene av metodene belyses og avveies mot effekten. - Datatilsynet skal jobbe for at det etableres en ordning med betrodde tredjepartner dersom skjulte tvangsmidler tas i bruk, og for at den som har vært gjenstand for tvangsmiddelbruken underrettes i etterkant. - Datatilsynet vil jobbe for at politiets metoder evalueres jevnlig, særlig opp mot formålsprinsippet og proporsjonalitetsprinsippet - Datatilsynet vil jobbe for at politiets virkemiddelbruk mer generelt vurderes og evalueres jevnlig for å hindre at lovverket kommer i utakt med den teknologiske utviklingen. - Datatilsynet vil jobbe for at tvangsmidler og andre former for overvåkningstiltak underlegges domstolskontroll - Datatilsynet skal holde seg orientert om internasjonal utvikling, og identifisere tendenser som kan få betydning for personvernet i Norge. Datatilsynets strategi - Datatilsynet skal delta aktivt i debatten om tvangsmiddelbruk og etterforskningsmetoder, blant annet ved å skrive kronikker og debattinnlegg. 13

- Datatilsynet skal legge fram forslag overfor justisdepartementet om innføring av en ordning med betrodde tredjeparter ved anonym vitneførsel og romavlytting, og ta opp spørsmålet om rammene for samtykkebasert etterforskning. - Datatilsynet skal ved endringer i eksisterende regelverk og vedtagelse av nytt, påpeke viktigheten av jevnlige evalueringer av tiltakene. Dette fordrer at det lages god statistikk og annen dokumentasjon av tiltakene. - Datatilsynet skal være særlig på vakt mot forslag som innebærer lagring av innholdsdata, endret innslagspunkt for DNA-analyser og kriminalisering av forsøk på soloterrorisme - Datatilsynet skal følge med på internasjonale trender og utvikling, blant annet gjennom deltagelse i relevante internasjonale fora. 14

2 Domstolene Behandling av personopplysninger i forbindelse med saker som behandles eller avgjøres i medhold av rettspleielovene er unntatt fra personopplysningslovens virkeområde, jf dennes 3. Bakgrunnen er at lovgiver har sett at det foreligger spesielle hensyn i forbindelse med domstolenes saksbehandling, som ikke uten videre lar seg harmonere med tradisjonelt personopplysningsvern. Utfordringer Domstolene tar stadig i bruk ny teknologi i forbindelse med saksbehandling, og i kommunikasjon med parter, partsrepresentanter, andre domstoler og politi- og påtalemyndighet. For eksempel er det tatt i bruk videokonferansesystemer for fjernavhør. Dette innebærer en sikkerhetsrisiko, og det bør derfor etableres plikt for domstolene til å sørge for tilfredsstillende informasjonssikkerhet ved sin behandling av personopplysninger - for å sikre både konfidensialitet, integritet og tilgjengelighet. Det kan argumenteres for at personopplysningslovens bestemmelser om både informasjonssikkerhet og internkontroll gjelder for domstolene, til tross for personopplysningslovens 3 jf forskriftens 1-3. Det vises her til at unntaket i forskriften er begrunnet i hensynet til en uavhengig domstol, og at unntaket ikke bør få videre anvendelse enn det begrunnelsen tilsier. Tilsynet stiller spørsmål ved om krav til informasjonssikkerhet og internkontroll er egnet til å rokke ved uavhengigheten i domstolsbehandlingen. Alternativt kan en slik plikt hjemles direkte i rettspleielovene, gjerne med en henvisning til personopplysningslovens bestemmelser om dette. Den 10. juni 2011 sendte JD på høring et forslag til ny forskrift om prøveordning med elektronisk kommunikasjon med domstolene. I forskriften vises det til sikkerhetsbestemmelsene i personopplysningslov og -forskrift. Det var imidlertid ikke foreslått at kravene til internkontroll skulle gjelde. Det var heller ikke foreslått at Datatilsynet skulle ha noen kompetanse til å føre kontroll eller treffe vedtak knyttet til ivaretakelsen av disse pliktene. Tilsynet mener at regelverket, dersom det vedtas som foreslått, derved gir et utilstrekkelig vern. Aktørene Justis- og politidepartementet har det overordnede ansvaret for at grunnleggende garantier for rettssikkerhet blir opprettholdt og utviklet. Et overordnet mål er å sikre samfunnets og enkeltmenneskets trygghet. Departementet har det overordnede ansvaret for både rettspleielovgivningen og personopplysningsloven Politidirektoratet er en del av den sentrale politiledelse og et forvaltningsorgan underlagt Justisdepartementet. Hovedoppgavene er faglig ledelse, styring, oppfølging og utvikling av politidistriktene og politiets særorganer Domstolsadministrasjonen (DA) er den administrative overbygningen for landets domstoler og jordskifteretter. DA har en administrativ styringsfunksjon og tilsyn med de domstolenes måloppnåelse. DA skal bidra til utvikling av domstolene slik at de er best mulig i stand til å møte utfordringene de stilles ovenfor 15

Datatilsynets posisjon Behandlingen av personopplysninger som domstoler foretar faller normalt utenfor personopplysningsregelverket. Generelt er dette også slik det bør være et statlig tilsyn skal ikke kunne påvirke de uavhengige domstolers beslutningsprosesser. I noen tilfeller er det likevel tenkelig at personopplysningsregelverket bør få anvendelse, enten direkte eller indirekte. Dette gjelder for eksempel ved bruk av kommunikasjonssystemer. Måten kommunikasjonen foretas på vil i liten grad kunne påvirke domstolenes beslutningsprosesser og uavhengighet, men vil kunne ha svært stor betydning for enkeltpersoners personvern. Datatilsynets strategi - Avklare i hvilken grad kommunikasjon mellom domstoler og andre aktører, samt oppbevaring av lydopptak og andre dokumenter, reguleres av personopplysningsregelverket, spesielt med hensyn til informasjonssikkerhet og internkontroll. - Jevnlige kontaktmøter med Domstolsadministrasjonen. - Påvirke eventuelle beslutningsprosesser i forbindelse med opprettelse og endringer i informasjonssystemer i sektoren, for eksempel gjennom råd og veiledningsmøter. 16

3 Kriminalomsorgen Innen kriminalomsorgen behandles det store mengder sensitive personopplyninger, både om innsatte og en rekke tredjepersoner typisk de innsattes familie, venner og bekjente. De registrerte er langt på vei fratatt sin individuelle frihet, hvilket stiller strenge krav til legalitet og legalitetskontroll. I tillegg til internt i sektoren, skjer den også en utstrakt utveksling av opplysninger mellom Kriminalomsorgen og henholdsvis politiet, kommunene (helsetjenesten) og fylkeskommunene (utdanningssektoren). Datatilsynet gjennomførte tilsyn med Kriminalomsorgen ved Ila fengsel i 2007 1. Tilsynet pekte på en rekke mangler, både hva gjaldt ansvarsforhold, rettslig grunnlag, sletting av personopplysninger, informasjon til de registrerte, informasjonssikkerhet med mer. Som følge av dette ble straffegjennomføringsloven vedtatt endret 17. desember 2010. Med endringene etableres et nytt kapittel i loven, som tar sikte på å lovregulere sektorens behandling av personopplysninger. Med lovendringen vil behandlingen falle utenfor personopplysningslovens virkeområde og Datatilsynets kompetanse, delvis etter lovens 3 jf forskriftens 1-3, og delvis etter lovens 5. Behandling som går utover det som er regulert i straffegjennomføringsloven vil allikevel falle innenfor personopplysningsloven. Utfordringer Innen kriminalomsorgen etableres det stadig nye tiltak som medfører behandling av personopplysninger om de innsatte og om tredjepersoner. Dette gjelder for eksempel innen kameraovervåkning, elektroniske kartleggingsverktøy og kontroll av telekommunikasjon. De innsatte henvender seg gjerne til Datatilsynet for å be om en legalitetsvurdering av slike nye tiltak. Aktørene Justisdepartementet ved Kriminalomsorgens sentrale forvaltning (KSF) har den faglige og administrative ledelse av kriminalomsorgen. KSF er organisert som et direktorat, i en egen avdeling i Justisdepartementet. Kriminalomsorgen er samfunnets straffegjennomføringsapparat. Kriminalomsorgen er organisert i tre nivåer: Kriminalomsorgens sentrale forvaltning (KSF); seks regionadministrasjoner; de lokale fengsler og friomsorgskontor. I tillegg kommer Kriminalomsorgens utdanningssenter (KRUS) og Kriminalomsorgens IT-tjeneste (KITT) som er direkte underlagt KSF. Sivilombudsmannen Ombudsmannens oppgave er å kontrollere offentlige myndigheter, herunder Kriminalomsorgen. Sivilombudsmannen er klageorgan for enkelte vedtak etter straffegjennomføringsloven. Datatilsynets posisjon For de som er berørt av kriminalomsorgen enten det er innsatte eller deres pårørende vil måten deres personopplysninger behandles på ha stor betydning. Det er likevel ikke alltid klart hvem som kan bistå de registrerte dersom det oppstår problemstillinger i forbindelse med behandling av deres personopplysninger.. I dag mottar Datatilsynet jevnlig klager på behandling av personopplysninger i kriminalomsorgen, uten at det alltid er klart om tilsynet er den korrekte instansen til å ta i mot og 1 Datatilsynets saksnummer 07/01455 17

behandle disse klagene. Spørsmålene ligger gjerne i grenseland mellom personopplysningslov, straffegjennomføringslov og forvaltningslov I mange tilfeller er det Kriminalomsorgens sentrale forvaltning som i første omgang skal vurdere klagene, i andre tilfeller bør klagene egentlig rettes til Sivilombudsmannen eller andre offentlige organer. Datatilsynet har forsøkt å bistå klagerne i størst mulig grad i slike saker, da behandling av den enkeltes personopplysninger hos kriminalomsorgen kan ha store konsekvenser for klageren og at det er vanskelig å orientere seg med hensyn til riktig klageinstans i hvert enkelt tilfelle. Datatilsynets strategi - Datatilsynet skal bidra til avklaringer med hensyn til hvem som er riktig klageinstans for de typene klager som tilsynet ofte mottar. En slik avklaring vil kunne gjennomføres på en hensiktsmessig måte gjennom et felles kontaktmøte mellom tilsynet, Kriminalomsorgens sentrale forvaltning og Sivilombudsmannen. - Datatilsynet skal fortsette å behandle klager fra innsatte i fengsler og forvaringsanstalter og andre berørte av kriminalomsorgen, og ta opp kategorier av klager/felles problemstillinger med Kriminalomsorgens sentrale forvaltning. 18

4 Offentlige kontrollmyndigheter Offentlige kontrollmyndigheter får en stadig større og viktigere rolle i samfunnet. Flere kontrollmyndigheter kan gjennomføre kontrollhandlinger og fatte vedtak overfor enkeltpersoner, for eksempel Skattetaten, Tollvesenet og NAV. Kontrollhandlingene kan omfatte alt fra ren personopplysningsbehandling (for eksempel kobling av ulike registre), å pålegge privatpersoner å oppgi personopplysninger og å ta beslag i personopplysninger som for eksempel er lagret på et elektronisk lagringsmedium. Formålet er å avdekke hvorvidt et bestemt regelverk etterleves eller ikke. Rettshåndhevelsen har for en stor del blitt flyttet fra politiet til forvaltningen. Utfordringer Datatilsynet har erfart at kontrollmyndighetene er gitt svært vide kontrollhjemler, og at det kan reises tvil om hvorvidt legalitetshensynene er tilstrekkelig ivaretatt. For eksempel vil det ofte være vanskelig for privatpersoner å forstå hvilke rettigheter og plikter men har i møtet med det enkelte kontrollorganet, herunder hvorvidt man kan motsette seg behandlingen - eller om den beror på tvang. Kontrollorganet er opptatt av å ivareta hensynet til effektivitet og resultatoppnåelse, og vil i det daglige kunne ha problemer med å identifisere de personvernhensyn som skal avveies i den forbindelse. Dette medfører en fare for at myndighetsutøvelsen i praksis går ut over det som er hjemlet i lov. Med ny teknologi blir det stadig enklere å gjennomføre kontroller med store deler av befolkningen til relativt lave kostnader. Det gjelder for eksempel koblinger av registre på tvers av forvaltningen, såkalt datamining og bruk av gjenkjenningsteknologi (i bruk av toll- og vegmyndigheter). Det er vanskelig å skape forståelse for hvorfor myndighetene ikke skal utnytte disse nye mulighetene til fulle. Aktørene De aktuelle kontrolletatene. Tollvesenet, NAV, vegnmyndighetene, Finanstilsyn mv. Sivilombudsmannen Ombudsmannens oppgave er å kontrollere offentlige myndigheter, herunder Kriminalomsorgen. Sivilombudsmannen er klageorgan for enkelte vedtak etter straffegjennomføringsloven. Finansdepartementet har det overordnede ansvaret for toll-, avgift- og skattelovgivningen herunder kontrollvirksomheten Arbeidsdepartementet har det overordnede ansvaret for NAV herunder kontrollvirksomheten Datatilsynets posisjon - Datatilsynet skal arbeide for at det etableres tilfredsstillende rettverngarantier for de privatpersoner som blir gjenstand for en forvaltningskontroll, og at disse garantiene virker i praksis. Datatilsynets strategi - Datatilsynet skal holde oppsyn med regelverksutviklingen på området, og gjennom høringer påse at sentrale rettsvernsgarantier ivaretas. 19

- Datatilsynet skal sørge for økt kunnskap i befolkningen, særlig om hvilke rettigheter den enkelte har i møte med de ulike kontrollorganene. - Datatilsynet skal delta i debatten om hvilken kompetanse som til enhver tid bør tilligge utøvende myndighet (forvaltningen). - Datatilsynet skal føre kontroll med at forvaltningen forholder seg lojalt til de fullmakter som Stortinget har gitt, og skape oppmerksomhet om eventuelle brudd som avdekkes. Stortinget skal i tillegg informeres gjennom Datatilsynets årsmelding dersom forvaltningen går ut over sine fullmakter. 20