Vår referanse (bes oppgitt ved svar) til politiregisterforskriften - De resterende 5 deler - Justis- og beredskapsdepartementet

Like dokumenter
Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar)

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Del 1 Generelle bestemmelser og behandlingsansvar

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar)

16/ /KEK Høring - NOU 2016: 24 Ny straffeprosesslov - Justis- og politidepartementet

POLITIET KRIPOS HØRINGSUTTALELSE FORSLAG TIL KRAV OM POLITIATTEST FOR PERSONELL I DEN KOMMUNALE HELSE OG OMSORGSTJENESTEN

Justis- og beredskapsdepartementet Innvandringsavdelingen Postboks 8005 Dep 0030 Oslo Oslo,

2. Kommentarer til de forslagene hvor dere særskilt ber om innspill

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

POLITIDIREKTORATETS HØRINGSUTTALELSE OM FORSLAG TIL ENDRINGER I POLITIREGISTERFORSKRIFTEN KAP 70

Vår referanse:

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Utlendingsdirektoratets innspill til høring om forslag til endring i utlendingslovens regler om visitasjon i forbindelse med asylregistreringen

Vi viser til brev av 7. november 2016 fra Barne- og likestillingsdepartementet hvor NOU 2016:16 Ny barnevernslov sendes ut på høring.

06. FEB Saksnr.

Vår referanse:

Bioteknologinemnda. Deres ref.: Vår ref.: 2011/66 Dato: Høringsuttalelse - Forslag til politiregisterforskrift

HØRING - ENDRINGER I UTLENDINGSLOVEN - POLITIETS TILGANG TIL OPPLYSNINGER OM BEBOERE I ASYLMOTTAK POLITIDIREKTORATETS MERKNADER

Vår ref. (bes oppgitt ved svar) 06/ AFL 28. juni 2006 HØRING - FORSKRIFT OM EIENDOMSREGISTRERING

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Statens landbruksforvaltnings høringssvar - Forslag til endringer i naturmangfoldloven kapittel IV om fremmede organismer

Forskrift X om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterforskriften)

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Deres ref Vår ref (bes oppgitt ved svar) Dato

Høring - forskrift om uttak og utnytting av genetisk materiale - bioprospektieringsforskriften

Vår referanse (bes oppgitt ved svar)

Høring - Politiets adgang til å benytte et fremtidig nasjonalt ID-kortregister

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

HØRING - ENDRINGER I OFFENTLEGLOVA - POLITIDIREKTORATETS MERKNADER

Høring Forslag til endringer i utlendingsforskriften Adgang til å ta lyd- og bildeopptak av asylregistreringen

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Lydopptak og personopplysningsloven

Høring endringer i politiregisterloven, arkivloven og straffeprosessloven sletting i politiets registre mv.

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Vedtak om pålegg - endelig kontrollrapport

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Kort innføring i personopplysningsloven

Deres referanse Vår referanse Dato / /EOL

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

POLITIET KRIPOS. Politidirektoratet. per e-post HØRINNGSSVAR FRA KRIPOS BEHANDLING AV OVERSKUDDSINFORMASJON FRA KOMMUNIKASJONSKONTROLL MV.

Krav til formål, utredning og opplysningskvalitet. Dag Wiese Schartum, AFIN

Endelig kontrollrapport

Post- og teletilsynet Norwegian Post and Telecommurkations Authority

Ot.prp. nr. 42 ( ) Om lov om endringer i straffeprosessloven (DNA-etterforskningsregister)

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Prosedyre for personvern

FORSLAG TIL FORSKRIFT OM FJERNMØTER OG FJERNAVHØR I STRAFFESAKER

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Personvern i Røyken Eiendom AS

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Høringssvar fra Utlendingsdirektoratet politiets tilgang til utlendingsmyndighetenes registre

Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven

BEHANDLING AV PERSONOPPLYSNINGER

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Datatilsynets høringsuttalelse: Åpenhet om lønn - lønnsstatistikker og opplysningsplikt

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Personvernerklæring. Hvorfor behandler vi personopplysninger om deg?

= Datatilsynet. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Høring forslag til endringer i plandelen av plan og bygningsloven

Ny postregulering - høringsuttalelse

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Endringer i åndsverkloven (tiltak mot krenkelser av opphavsrett m.m. på Internett)

å PoLmET á OSLO POLITIDISTRIKT b. Frist for innspill til Politidirektoratet også forelagt andre enheter i politidistriktet.

Høring - Kommunelovutvalgets utredning 2016: 4 - Ny kommunelov. Vi viser til Kommunal- og moderniseringsdepartementets brev 6. april 2016 med vedlegg.

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Høring forslag til endringer i forskrifter til konkurranseloven, og forslag til forskrift om ikrafttredelse og overgangsregler

Deres referanse Vår referanse Dato 15/ /JSK

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar) 12/ /CBR

POLITIET. Politidirektoratet. Det kongelige justis- og politidepartement Postboks 8005 Dep 0030 OSLO. offentlige organer

Svar på spørsmål om kapittel 9 A i opplæringsloven

// ARBEIDS- OG VELFERDSDIREKTORATET /

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

ØKOKRIM Den sentrale enhet for etterforskning og påtale av økonomisk kriminalitet og

Deres referanse Vår referanse (bes oppgitt ved svar) Dato /MAL 09/ /CBR 10. mars 2009

Høring forslag til endringer i lov om studentsamskipnader. Vi viser til nevnte høringssak, datert

ARKIVDAGEN Maihaugen

Transkript:

Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201000188 11/00697-5/MAB 30. april 2012 Dato Høringsuttalelse - Forslag til politiregisterforskriften - De resterende 5 deler - Justis- og beredskapsdepartementet Det vises til departementets høringsbrev av 15. februar 2012 med forslag til politiregisterforskrift, og avtale med fagdirektør Sylvia Peters om utsettelsee av frist for høringssvar. Høringen gjelder del 3, 4, 7 10 og 11 av forskriften, de resterende delene har vært på høring tidligere. Datatilsynet har følgende kommentarer. Generelle merknader Datatilsynet er tilfreds med at det etableres et regelverk på politiregisterområdet, og ser behovet for at politiregisterloven suppleres med et forskriftsverk. Det forslaget som nå fremmes er imidlertid svært omfattende, og tilsynet frykter derved at regelverket blir vanskelig tilgjengelig. Det kan stilles spørsmål ved om enkelte av bestemmelsene i forslaget gir uttrykk for egentlige rettsregler (altså om de har et reelt, materielt innhold), eller om de bare kodifiserer juridisk metode. Bestemmelser av sistenevnte type bør etter tilsynets vurdering unngås, jf. forrige avsnitt. Datatilsynet mener også at forskriften er alt for detaljert og at språket i forskriften er vanskelig. I mange tilfeller er det også gjentagelser av bestemmelser og dobbeltbehandling av temaer. Forskriften blir på grunn av dette svært tungt tilgjengelig og veldig vanskelig å finne frem i. Tilsynet er av den oppfatning at en del av forksriften ville ha passet bedre som retningslinjer i form av kommentarer/merknader til forksriften. Forøvrig ønsker Datatilsynet å påpeke at selv om tilsynet har vært med i referansegruppen for denne forskriften, kan vi ikke se at vi har mottatt del 7 av forskriften, eller de fleste av kapitlene i del 11 til kommentering tidligere. Dette er uheldig ettersom fristen på denne høringen var kort. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

Kommentarer til del 3 Til kapittel 7 I 7-3 andre ledd er det beskrevet hva som skal anses som noens personlige forhold. Datatilsynet mener at andre ledd er svært vanskelig tilgjengelig, og ikke sier noe mer enn politiregisterlovens 7. Til kapittel 8 Generelt til kapittelet Kapittelet gir ikke tilstrekkelig svar eller veiledning med hensyn til spørsmålene om hva som er akseptabel tilgang, og i hvilke situasjoner. Forskriften mister mye av sin hensikt dersom fastsettelsen av rammer for tilgangsstyring i for stor grad overlates til de behandlingsansvarlige, spesielt i de tilfeller hvor behandlingsansvaret er plassert hos den enkelte politimester. Ved vurderinger om tilgangsstyring er det nærliggende å se hen til reguleringen i helsesektoren, selv om behov og bruk kan være annerledes for politiet. I helsesektoren er spørsmålet om akseptabel tilgang knyttet til nødvendighet og til samsvar med taushetsplikten, jf. helseregisterlovens 13, samtidig som det er oppstilt et forbud mot å tilegne seg opplysninger utover det som er nødvendig, jf. helseregisterlovens 13a. Det er selvsagt opp til departementet å vurdere hvilken regulering som kan og bør gjøres på forskriftsnivå, men det er svært viktig at brukerne av regelverket gis rammer for hvilken tilgang det er lov å gi, og ikke bare et forholdsvis vagt krav om tjenstlig behov. Datatilsynet viser i denne sammenhengen også til Ot.prp. 108 (2008-2009) kapittel 11.6.4 departementets vurdering knyttet til tilgang, og følgelig lovens 21. Departementet skriver her Gjennom innføring av elektronisk e saksbehandlings- og datasystemer er det lagt opp til at alle ansatte i utgangspunktet har tilgang til de opplysninger som behandles i den aktuelle virksomhet, og med tilgang menes da adgang til direkte søk. Datatilsynet ønsker her å stille spørsmål ved om det forventes reell tilgangsstyring for tilfeller som beskrevet i lovens 21 første ledd. Dersom dette er tilfellet, bør forskriften sette klarere rammer for slik tilgangsstyring. Videre ber Datatilsynet om at det vurderes nærmere om et forbud mot uautorisert bruk av tilgang bør og kan konkretiseres i forskriften. Formuleringen fra SIS-lovens 12 kan her vurderes benyttet Brukerne kan bare søke etter de opplysninger som er nødvendige for å ivareta deres oppgaver. Datatilsynet kan ved kontrollvirksomhet ha behov for tilgang gjennom fagsystem. Vi ser ikke behov for at det legges til rette for statisk tilgang for tilsynsmyndighetene, men at det gjøres klart at tilgang kan gis ved kontroll, og at tilgang finner sted hos den behandlingsansvarlige eller der denne tillater. Bruk av medsøk hos ansatte brukere i fagsystemet er en mulighet her, men kan i praksis gi feilaktige loggoppføringer for den ansatte. Det kan være at behovet her er 2

dekket ved at det i kommentarene gjøres klart at tilgang etter politiregisterlovens 61 i fagsystemene ved stedlig kontroll kan finne sted selv om det ikke er eksplisitt behandlet i forskriften. Personvernnemnda har samme rett som Datatilsynet, men er vi ikke kjent med at de har bedt om tilgang i fagsystem i følge med sitt virke. Til 8-2 Det vil normalt være et svært lite behov for å ha tilgang for å ivareta informasjonssikkerheten. Teksten burde heller omformes til for drift og administrasjon av systemet i den grad det er nødvendig. Ved slik tilgang bør det av kommentarene fremkomme at drift og administrasjon av systemet så langt det lar seg gjøre skal foregå uten at det gis tilgang. Videre stiller Datatilsynet spørsmål ved om antagelsen i kommentarene til 8-2 er riktige hva gjelder kvalitetssikring. Det er antatt at dette foregår hos PDMT, og er knyttet til politiregisterlovens 15. Datatilsynet antar, ut i fra en alminnelig forståelse av begrepet kvalitetssikring, at dette er knyttet til sikring av om opplysningene er riktige og om de er tilstrekkelige for formålet, samt til kvalitetssikring av tjenesteutøvelsen hvor det kan være behov for å gjennomgå de registrerte opplysninger for å vurdere utført tjeneste og effekten av ulik metodebruk. Ettersom kvalitetssikringsarbeid kan være relativt omfattende, anbefaler tilsynet at det vurderes å ta dette inn som en egen bestemmelse. Det vises for øvrig til tilsvarende forslag fra Kripos i lovarbeidet ble vurdert og foreslått regulert på forskrifts nivå da knyttet til sikring av at opplysningen er korrekte og oppdaterte, jf. Ot.prp 108 (2008-2009), kapittel 11.6.4. 8-3 andre ledd. Datatilsynet mener at formuleringen om at vilkåret for tjenestemessig behov er oppfylt dersom tjenestemannen settes i stand til å treffe en mer riktig eller mer velbegrunnet avgjørelse, eller utføre en mer effektiv eller hensiktsmessig tjeneste ikke utgjør et strengt nok vilkår for å sikre grunnleggende krav til forholdsmessighet. Andre ledd bør helst fjernes i sin helhet slik at vilkåret for tilgang følger av første ledd, nemlig tjenestemessig behov. Heri ligger et nødvendighets- eller forholdsmessighetskrav. Datatilsynet etterlyser en nærmere vurdering av hvem som skal gi retningslinjer for når tjenestemessig behov foreligger. Det bør konkretiseres nærmere hva som menes med tjenestemessig behov. Dersom man ønsker å beholde andre ledd i en eller annen form, bør vurderingen basere seg i en nødvendighetsvurdering, altså at det for en tjenestemann må være nødvendig å ha tilgang for å utføre arbeidsoppgavene sine. I 9-5 første ledd og 9-6 siste ledd (som riktignok handler om utlevering og ikke direkte tilgang) er behov og hensyn til effektivitet, hensiktsmessighet og hensynet til å treffe en riktigere og med velbegrunnet avgjørelse først og fremst knyttet til nødvendighetsvilkåret, slik bør det også være i 8-3. Til kapittel 9 I 9-4 er nødvendighet oppstilt som et vilkår for utlevering av opplysninger for andre politimessige formål enn kriminalitetsbekjempelse. Dette blir det samme vilkåret som for utlevering av opplysninger til kriminalitetsbekjempende formål, som må anses for å være et 3

viktigere formål enn andre politimessige formål. Datatilsynet er derfor av den oppfatning at nødvendighetskravet bør skjerpes for utlevering til andre politimessige formål. 9-9 gjelder utlevering av opplysninger til utenlandske myndigheter. Datatilsynet mener at denne paragrafen er vanskelig tilgjengelig, spesielt første ledd. Det er svært vanskelig å lese ut av den i hvilke tilfeller utlevering til utenlandske myndigheter kan foretas, og hvilke begrensninger som foreligger i forbindelse med slik utlevering. Tilsynet kan ikke se at utlevering til land som ikke er omfattet av personverndirektivet, og derved har en svakere beskyttelse for personopplysninger, er berørt dette er noe som bør ligge til grunn for vilkårene for utlevering til utenlandske myndigheter. Til kapittel 10 I 10-6 brukes begrepet offentlig tjenestemann uten at det forklares nærmere hvem som faller inn under denne kategorien. Datatilsynet er enig med merknadene til denne paragrafen der det fremgår at begrepet må spesifiseres nærmere. Begrepet offentlig tjenestemann er også brukt i andre lover og forskrifter, og det må spesifiseres nærmere dersom man mener noe annet med dette i denne forskriften. Tilsynet mener at den berørte kretsen her bør reduseres, for eksempel til å kun gjelde embetsmenn. Til kapittel 11 I 11-2 siste ledd står det følgende: Utlevering av opplysninger til andre formål enn de som er nevnt i første og annet ledd i denne bestemmelsen kan besluttes av den enkelte tjenestemann. Etter opplistingen i de første to ledd er det umiddelbart vanskelig å se hvilke formål dette leddet gjelder. Dette bør kanskje presiseres nærmere, slik det er presisert i kommentarene, nemlig at det er snakk om utlevering til parter, i den enkelte straffesak og til avvergende formål. 11-3 omhandler formkrav til utlevering av opplysninger. Datatilsynet mener at det bør fremgå klarere at hovedregelen er at opplysninger skal utlevers skriftlig, og at muntlig utlevering er et unntak fra dette som må begrunnes nærmere. Det bør også klart fremgå av enten 11-3 eller 11-4 at dersom opplysninger utleveres muntlig skal det så fort som mulig foreligge en skriftlig bekreftelse på hvilke opplysninger som er utlevert, til hvem og til hvilket formål. Kommentarer til del 4 Generelle kommentarer Av pedagogiske hensyn bør kapittelet om sletting stå før sperring. Sperring skal vurderes dersom sletting ikke kan foretas av forskjellige grunner, men sletting bør alltid vurderes først, dersom vilkårene for dette er oppfylt. Ved å plassere kapittelet om sperring før sletting, gir dette et inntrykk av at sperring skal være førstevalget, og kan gjøre det enklere å stoppe der uten å vurdere det vankelige valget om å slette. 4

Til kapittel 12 I 12-1 andre ledd står det Informasjon utenom de lovpålagte tilfellene bør vurderes dersom utlevering av opplysninger til andre formål enn politiregisterloven 30 og 31 antas å medføre ulemper for den registrerte, jf. 12-2 tredje ledd De nevnte paragrafene i politiregisterloven handler om utlevering til offentlige organer eller private, i de offentlige organenes eller de privates interesse. Det er vanskelig å utlede formålene med utleveringer etter 30 og 31. Er formålet angitt ved benevnelsen av mottagerne, dvs. private og offentlige? Proposisjonen bekrefter at private betyr alle som ikke er offentlige. Gjelder bestemmelsens andre ledd utlevering av opplysninger i den registrertes interesse, men hvor utleveringen samtidig må antas å medføre ulemper for den (samme) registrerte? Etter Datatilsynets syn gir regelen uttrykk for en rettighet kan være vanskelig å omsette i praksis. I 12-2 tredje ledd står det at Unntaket i politiregisterloven 48 annet ledd nr. 3 kommer ikke til anvendelse dersom det er grunn til å anta at utlevering av opplysninger vil kunne påføre den registrerte skade eller ulempe av økonomisk eller annen art, eller dersom utlevering av opplysninger vil være krenkende. Lovens unntak kan anvendes når utlevering ikke er av vesentlig betydning for den registrerte. Skade eller ulempe av økonomisk eller annen art, eller dersom utleveringen vil være krenkende, er åpenbart utenfor det som kan karakteriseres som uten vesentlig betydning for den registrerte. Eksempelet i forskriftsbestemmelsens tredje ledd er derfor misvisende. Til kapittel 13 I 13-2 første ledd er det gjort en henvisning til politiregisterlovens 49. Det bør presiseres at henvisningen gjelder bestemmelsens andre ledd av hensyn til sammenhengen i paragrafen for øvrig. Uten denne presiseringen kan ordlyden lett bli misvisende. I bestemmelsens andre ledd står det at Innsynsretten som nevnt i første ledd omfatter ikke opplysninger om andre eller rett til dokumentinnsyn. Datatilsynet mener at dette ikke burde utelukke at det i praksis utleveres fullstendige dokumenter, hvis omstendighetene tilsier at det er hensiktsmessig, jf. også hovedregelen i politiregisterloven 49 om at den registrerte har rett til dokumentinnsyn. Følgende andre punktum kan eventuelt inntas: Hvis et dokument ikke innholder personopplysninger om andre enn den registrerte, bør det som hovedregel gis dokumentinnsyn. 13-3 er vanskelig å forstå i lys av 13-2. Hvis bestemmelsen skal forstås som et unntak fra retten til å få vite hvilke opplysninger som er utlevert får vi den situasjonen at lovteksten gir anvisning på en rettighet, som i neste omgang tas bort i forskriften. Til kapittel 14 I 14-2 andre ledd bokstav b) står det at Begjæring om retting eller retting av eget tiltak må være begrunnet i at den registrerte opplysning er ufullstendig, slik at registreringen fremstår som misvisende (vår utheving). Datatilsynet finner det uklart hva som menes med dette 5

tillegget. Tilsynet mener det vil være uheldig dersom det ikke er tilstrekkelig at en opplysning er ufullstendig for å få den rettet eventuelt supplert, og at opplysningen i tillegg må fremstå som misvisende for at retting skal finne sted. I bestemmelsens tredje ledd står det at Begjæring om retting kan ikke begrunnes med at det hefter feil ved den beslutning eller den avgjørelsen som ligger til grunn for registreringen, som for eksempel avgjørelser som registreres i reaksjonsregisteret. I slike tilfeller skal den som begjærer retting henvises til å benytte seg av de klageregler som gjelder på vedkommende område. Siste punktum i leddet forutsetter at det gis informasjon om opplysningenes beskaffenhet i tide, slik at den registrerte skal kunne ha en reell mulighet til å komme med innsigelser før fristen for å klage på den underliggende beslutningen har løpt ut. Dette bør løses ved å knytte klagefristens utgangspunkt til tidspunktet da den registrerte fikk kunnskap om hvilke opplysninger om ham eller henne som er registrert. I 14-4 første ledd står det at uriktige eller mangelfulle opplysninger bare kan erstattes med nye opplysninger dersom vilkårene for sletting etter 16-4 er oppfylt. Datatilsynet mener at dette er et alt for strengt vilkår, og at terskelen for erstatning av uriktige og mangelfulle opplysninger bør ligge noe lavere enn sletting. I bestemmelsens siste ledd står det at Opplysninger som er beheftet med feil som ikke lar seg reparere, som for eksempel at behandlingen av opplysningene ikke er hjemlet i politiregisterloven, skal markeres med angivelse av hva feilen består i. Datatilsynet vil påpeke at dersom en behandling av personopplysninger ikke har hjemmel i politiregisterloven, er det ikke naturlig å si at dette er en feil ved opplysningene og skal behandles deretter. Dersom en behandling av personopplysninger mangler rettslig grunnlag (hjemmel i politiregisterloven), skal opplysningene som hovedregel slettes. Til kapittel 15 I 15-2 siste ledd, siste punktum står det at opplysninger som er sperret skal være begrenset til et mindre antall personer som har fått særskilt bemyndigelse. Datatilsynet mener at uttrykket mindre antall personer kan presiseres til så få personer som mulig eller lignende. I 15-3 siste ledd står det at dersom det er tvil om hvorvidt en opplysning skal sperres eller slettes, skal opplysningen sperres. Datatilsynet mener at dette bør være motsatt ved tvil skal opplysningen slettes. 15-4: Innholdet i bestemmelsens siste ledd er såpass viktig at dette burde få en mer fremtredende plass av pedagogiske hensyn. Dette bør være en egen paragraf, eller i det minste første ledd i denne bestemmelsen. Til kapittel 16 16-4 andre ledd viser tilbake til 14-4 siste ledd. Det vises til Datatilsynets kommentarer ovenfor om denne bestemmelsen de samme hensynene gjør seg gjeldende også her. 6

Til kapittel 17 I 17-2 tredje ledd står det at Begjæringen må angi hvilket register eller hvilken sak det søkes innsyn i. Dette forutsetter et kjennskap til hvordan politiet jobber og hvilke registre som finnes, som man ikke kan forvente av den enkelte registrerte. Dette vil kunne svekke retten til innsyn. Kommentarer til del 7 Generelt Datatilsynet mener at det er svært positivt at reglene som fremkommer i denne delen flyttes fra påtaleinstruksen til forskriftstekst. Til kapittel 25 Ordlyden i 25-1 fremstår som komplisert og utilgjengelig. Det materielle innholdet i bestemmelsen kan formidles på en enklere måte, for eksempel: Med straffesaksdokumenter menes det samme som i straffeprosesslovens 242. Kommentarer til del 10 Til kapittel 41 Datatilsynet vil anbefale at personverndirektivet legges til grunn for den meldeordningen som skal etableres. Tilsynet vil be om at et ikke gjøres ytterligere unntak fra meldeplikten enn de som følger av politiregisterlovens ordlyd. Særlig i en etableringsfase er det av stor betydning at behandlinger meldes Datatilsynet, slik at både tilsynet og offentligheten informeres om de behandlinger som skjer og skal underkastes lovens vilkår. Dette hensynet kan hevdes å være ivaretatt for registre som er regulert i forskrift. Meldinger vil ha størst betydning for registre som ikke er forskriftsregulert. Dagens meldesystem hos Datatilsynet bygger på et etablert skjema, som ikke vil være godt egnet i henhold til politiregisterloven. En omlegging av systemet vil neppe være mulig før ikrafttredelsen. Datatilsynet ser det som naturlig at tilsynet deltar i arbeidet om hvordan et nytt skjema eller rutiner i henhold til politiregisterloven bør utformes. 7

Til kapittel 42 42-2 andre ledd gjelder oppsettende virkning. Datatilsynet vil som hovedregel etter forvaltningslovens bestemmelser, gi oppsettende virkning for pålegg knyttet til behandlinger som allerede er iverksatt og pågår. I de tilfeller hvor det treffes pålegg knyttet til tiltak som ennå ikke er iverksatt, vil terskelen naturligvis være noe høyere idet det vanskeligere kan påvises en uopprettelig konsekvens av å etterkomme pålegget (i praksis at behandlingen ikke skal iverksettes). Datatilsynet anser at det bør overlates til tilsynets skjønn, også etter politiregisterlovgivningen, hvorvidt det skal gis oppsettende virkning. Til 42-3: Datatilsynet mener det er uklart etter politiregisterloven hvorvidt tilsynet skal ha påleggskompetanse (utenfor straffesak) etter lovens 21 om tilgang: Etter politiregisterlovens 60 første ledd kan tilsynet verken i eller utenfor straffesak gi pålegg om reglene om utlevering og taushetsplikt i kapittel 5 og 6. 21 om tilgang står i kapittel 5, og kapittelet heter Utlevering og tilgang til opplysninger. Er det med unntaket her ment hele kapittel 5 og 6, eller kun bestemmelsene om utlevering og taushetsplikt i kapittel 5 og 6? I kommentarene til 60 er innsyn etter 49, taushetsplikt og vandelskontroll nevnt eksplisitt. Tilgang og utlevering er ikke nevnt. I kommentarene i Ot. prp. nr. 108 (2008-2009) til 21 sies det at opplysningene ikke skal kunne flyte fritt i store kontorer. Med andre ord vil det kunne være situasjoner der kontroll er nødvendig. Tilsynet mener det er svært uheldig om det ikke skal kunne treffes pålegg om tilgangsstyringen internt hos den enkelte behandlingsansvarlige, idet tilgangsstyring er en helt sentral del av internkontroll- og informasjonssikkerhetsplikten. Tilgangsstyring er et godt virkemiddel for å redusere risikoen for uautorisert spredning av personopplysinger, og tilsynet mener derfor at det er viktig at det kan treffes nødvendige tiltak. I 42-4 andre ledd står det at begjæring om kontroll kan avvises av Datatilsynet dersom samme forhold ble kontrollert tidligere, og det ikke foreligger holdepunkter for at det er foretatt nye registreringer. Datatilsynet mener at det i tillegg bør foreligge en slags sikkerhetsventil, som gir oss adgang til å avvise enkelte klager/begjæringer, for eksempel ved å gi tilsynet adgang til å avvise klager som er åpenbart grunnløse. Det mest hensiktsmessige er at adgangen skal være skjønnsmessig, slik at tilsynet kan etablere en egen praksis. For eksempel kan det gis anvisning på at en klage skal medføre en hensiktsmessig oppfølgning fra Datatilsynet eller lignende. Ettersom kontrollhandlingene ikke er nærmere definert i loven, kan kontrollbegrepet etter tilsynets vurdering innebære alt fra å be om en skriftlig redegjørelse (standardisert), til å gjennomføre en full systemrevisjon. Til kapittel 43 Til 43-2: Datatilsynet stiller ingen konkrete vilkår om organisatorisk plassering for sine ombud. Det må likevel være en forutsetning at vedkommende plasseres slik at det er mulig både å holde oversikt over hvilke behandlinger som foretas og iverksettes i hele 8

virksomheten, og at vedkommende settes i stand til å påvirke at virksomheten ivaretar ansvaret som følger med behandlingen. Her vil også gode rutiner i virksomhetens internkontrollsystem være av stor betydning. Tilsynet ser det som en god løsning dersom minst en av rådgiverne (dersom virksomheten har flere) plasseres i nær tilknytning til øverste ledelse. Kommentarer til del 11 Mange av kapitlene om de spesielle registrene i del 11 er videreføring av gjeldende rett. De fleste kapitlene har også en felles utforming, med paragrafer som går igjen i de fleste kapitlene. Datatilsynet knytter derfor innledningsvis noen generelle kommentarer som gjelder flere eller alle kapitlene/registrene i del 11. Dersom tilsynet har særskilte merknader til de enkelte kapitlene/registrene, følger dette etter de generelle merknadene. Generelle merknader til registrene i del 11 Om innsynsretten Av utkastene og merknadene til disse fremgår det at den registrerte skal gis rett til innsyn i hvilke opplysninger som er registrert om vedkommende, men det stilles spørsmål ved om det skal gis innsyn i selve opplysningene (for eksempel hvorvidt man skal få se selve det bildet som ligger i fotoregisteret). Datatilsynet mener at det må gis innsyn i selve opplysningene for at den registrerte skal få tilfredsstillende rettigheter 1. Hvis vedkommende skal kunne kontrollere om de opplysningene som er registrert faktisk er korrekte (at det er vedkommendes DNA-profil, at det er han som er avbildet osv), så forutsetter det et man gis innsyn også i selve profilen eller fotoet. Om tilgang og utlevering Utkastet er lite egnet for Datatilsynets oppfølging av den behandlingsansvarlige gjennom kontroll, idet rammene som angis er for vide og skjønnsmessige. Det vises til tilsynets merknader om tilgangsstyring til del 3. Som nevnt der savner Datatilsynet at reguleringen setter noen faktiske rammer for tilgangen som skal gis, utover at den behandlingsansvarlige selv skal fastsette rutiner for dette. Herunder følger noen eksempel på rammer for tilgang som kanskje burde inntas på forskriftsnivå: Når det gjelder DNA-registeret skal det være tilgang til dette utover særskilt bemyndigede i Kripos? I så fall hvilken form for tilgang er det som kan foretas utenfra? Det er her forskjell på tilgang til om en person er registrert med en personprøve, og tilgang til selve DNA-profilen. Dersom tilgang skal kunne gis utenfor 1 Det vises til personopplysningslovens 18 første jf annet ledd, hvor det gjøres en distinksjon mellom alminnelig innsynsrett og den registrertes innsynsrett. Mens enhver har rett til innsyn i hvilke opplysninger som er registrert, så skal den som er registrert i tillegg ha innsyn i de opplysningene som er registrerte om vedkommende. 9

Kripos bør dette kanskje konkretiseres på forskriftsnivå. Dersom tilgang ikke skal gis utenfor Kripos bør dette i hvert fall reguleres i forskriften for å unngå tvil om dette. Det samme som nevnt ovenfor gjør seg også gjeldende i foto og fingeravtrykksregisteret. I forbindelse med dette registeret er det også en problemstilling om det skal være mulig å kjøre fingeravtrykkssøk fra utsiden, altså utenfor Kripos. Hvordan skal reguleringen av tilgang til avlyste etterlysninger være i etterlysningsregistrene? Om begrepet personalia I mange av kapitlene i del 11 brukes begrepet personalia uten at det er beskrevet nærmere hva dette begrepet innbefatter. Etter det Datatilsynet kjenner til har ikke dette begrepet et noe nærmere definert innhold. Tilsynet etterlyser en avklaring av begrepet, slik at man ikke risikerer å innhente flere opplysninger enn nødvendig. Til kapittel 45 DNA-registeret Innledningsvis i dette kapittelet ønsker Datatilsynet å trekke frem problemstillingen ved samtykke i forbindelse med såkalt DNA-screening. Slik Datatilsynet forstår det av merknadene til dette kapittelet, er det ikke foretatt noen endringer med hensyn til reguleringen av dette. Datatilsynet viser i denne sammenheng til tilsynets bev til Justis- og beredskapsdepartementet av 16. februar 2012 som er vedlagt høringsuttalelsen. Av 45-4 Av annet ledd fremgår det at ansvaret for prøver skal deles mellom Kripos og den enkelte politimester. Det bør utdypes hva som ligger i dette. Det kan oppstå spørsmål ved om begrepet prøver begrenser ansvaret til å omfatte det biologiske materialet (prøvematerialet), og ikke til de personopplysningene som behandles i forbindelse med analysen. Videre bør det presiseres hvordan ansvaret er delt mellom Kripos og politimestrene, dvs. hva den enkelte er ansvarlig for. Til 45-12: Når det gjelder utlevering til forskning, jf. politiregisterlovens 33, vil tilsynet bemerke at forskning på denne type opplysninger normalt vil være omfattet av personopplysningsloven, herunder kravet om rettslig grunnlag etter lovens 11 og 9. For forskning er i det i praksis to rettslige grunnlag som er aktuelle, nemlig samtykke og nødvendighetsalternativet i 9 bokstav h. Dispensasjon for utlevering vil bare være påkrevd når det ikke er innhentet samtykke. For å unngå at det gis tillatelse til å levere ut materiale til et forskningsprosjekt som ikke har rettslig grunnlag etter personopplysningsloven, så bør det skapes et bindeledd mellom regelsettene, enten ved at det henvises til personopplysningsloven eller ved at kriteriene for utlevering blir formulert identisk som i personopplysningslovens 9 bokstav h 10

Til kapittel 46 Fotoregisteret og fingeravtrykksregisteret Til 46-4: Forskriftens 46-1 beskriver kun at det skal føres et sentralt fotoregister og et sentralt fingeravtrykksregister. Kapittelet er hjemlet i politiregisterlovens 13 som kun nevner foto og fingeravtrykk, og viser til straffeprosesslovens 160 som også kun beskriver foto og fingeravtrykk. I forskriftens 46-4 er det likevel opplistet at i disse registrene skal man kunne registrere opplysninger om både avtrykk av håndflate og andre kroppsavtrykk. Det er uklart for Datatilsynet hvor behandlingen av de øvrige kroppsavtrykkene bortsett fra fingeravtrykk er hjemlet. Dersom det finnes en hjemmel til registrering av andre kroppsavtrykk enn fingre, må dette fremkomme på en klarere måte, ellers gir både kapitteloverskriften og 46-1 et feilaktig inntrykk. Til 46-5: Datatilsynet ønsker å stille spørsmål ved om følgene av bestemmelsens andre ledd nr. 2, hvor det fremgår at også opplysninger om barn under 15 år kan registreres i registrene har blitt vurdert opp mot barnekonvensjonens artikkel 40. Til kapittel 48 Elektronisk straffesaksjournal I 48-5 første ledd er det en referanse til feil paragraf. Det refereres til formålene som nevnt i 48-2, men formålene er listet opp i 48-1. Til kapittel 52 Trafikkdata i straffesak Innledningsvis ønsker Datatilsynet å påpeke at tilsynet har merket seg debatten som har vært i media den siste tiden vedrørende bruk av trafikkdata, og forslaget til reguleringen av dette i politiregisterforskriftens kapittel 52. Datatilsynet viser i denne sammenhengen særskilt til artikkelen publisert på Politiets Fellesforbunds nettsider 17. april 2012 hvor det oppfordres til at kapittelet ikke bør vedtas slik det er i dag. Fra denne artikkelen og andre mediauttalelser fremstår det som Politiet mener at de per i dag har anledning til å lagre trafikkdata samlet også etter at straffesaken dataene er innhentet til er avsluttet. Datatilsynet er ikke enig i dette etter at straffesaken trafikkdata er innhentet til er avsluttet, vil det ikke finnes en hjemmel i straffeprosessloven eller annen lovgivning til fortsatt lagring av dataene. Per i dag er det personopplysningsloven som kommer til anvendelse på en slik fortsatt lagring, og i henhold til lovens 28 skal opplysningene slettes. Slik Datatilsynet ser det er derfor kapittel 52 i politiregisterforskriften en videreføring av gjeldende rett, og ikke en endring slik dette har blitt fremstilt i media den siste måneden. Tilsynet presiserer at opplysinger knyttet til en straffesak kan oppbevares i selve saken sammen med saksdokumentene. Datatilsynet vil også bemerke at det er sterkt imot en eventuell endring av regelverket på dette punktet, som vil gi politiet adgang til å sitte med overskuddsinformasjon fra den enkelte straffesak etter at straffesaken er endelig avgjort. Overskuddsinformasjon knytter seg typisk til helt uskyldige personer som enten er sjekket ut av den konkrete straffesaken eller som kun 11

figurerer i trafikkdatamaterialet uten å ha noen annen relasjon til den eller de mistenkte eller straffesaken for øvrig. Det kan vanskelig hevdes at dette er opplysninger som er nødvendige for politiets videre arbeid, i andre saker. Et eget trafikkdataregister internt i politiet vil etter tilsynets vurdering uthule den ordningen som nå søkes etablert ved implementering av datalagringsdirektivet herunder krav til domstolskontroll når trafikkdata skal hentes inn i en konkret straffesak. Tilsynet kan ikke se at etablering av et eget trafikkdataregister i politiet ble lagt til grunn i den politiske debatten rundt datalagringsdirektivet, og mener derfor at et slikt register uansett ikke bør etableres uten at Stortinget har tatt uttrykkelig stilling til det. I 52-3 står det at Kripos er behandlingsansvarlig for behandlingen av trafikkdata i forbindelse med straffesak. For Datatilsynet fremstår dette som noe underlig, da behandlingen det er snakk om gjelder trafikkdata innhentet til hver enkelt straffesak, noe som politimestrene i det enkelte politidistriktet er ansvarlig for i praksis. For Datatilsynet er det uklart om dette er tiltenkt å være en endring fra dagens praksis. Er det slik at politidistriktene er behandlingsansvarlige per i dag, men at man ønsker en endring slik at Kripos vil bli behandlingsansvarlig fra forskriftens ikrafttredelse? Til kapittel 53 Politioperativ system og lydlogg I 53-5 første ledd står det at Kripos er behandlingsansvarlig for politioperativ system. Også her mener Datatilsynet at det er uklart hvorfor Kripos skal ha behandlingsansvar, jf. Datatilsynets kommentarer til kapittel 52. Til kapittel 54 Arrestjournal og opptak av lyd og bilde i politiarrest I 54-4 første ledd står det at Kripos er behandlingsansvarlig for arrestjournal. Som nevnt i Datatilsynets kommentarer til kapittel 52 og 53, er det også her uklart hva som menes med at det er Kripos som skal ha behandlingsansvaret for dette, da arrestjournal føres i det enkelte politidistriktet. Med vennlig hilsen Bjørn Erik Thon direktør Maria Bakke rådgiver Kopi: Fornyings-, administrasjons- og kirkedepartementet, v/statsforvaltningsavdelingen, Pb 8004 Dep, 0030 Oslo Vedlegg: 12/00119-1 12

13

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding