4 Gjeldende rett om adgang til å benytte opplysninger fra passregisteret
4.1 Generelt om bruk av registre med personopplysninger
Personopplysningsloven gir regler om opprettelse og forvaltning av registre som inneholder personopplysninger. I henhold til personopplysningsloven krever behandling av personopplysninger at det foreligger et behandlingsgrunnlag, som eksempelvis kan være en lov, samtykke fra den opplysningene gjelder eller at behandlingen er nødvendig for å utøve offentlig myndighet. For behandling av sensitive personopplysninger gjelder det ytterligere krav, jf. personopplysningsloven § 9. Personopplysninger kan i utgangspunktet bare brukes til angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, og ikke senere brukes til formål som er uforenlig med det opprinnelige formålet med innsamlingen uten at den registrerte samtykker, jf. personopplysningsloven § 11 første ledd. Innenfor rammen av Den europeiske menneskerettskonvensjonen artikkel 8 og andre folkerettslige forpliktelser kan det gis særskilte regler som åpner for en videre bruk av personopplysninger enn det som følger av personopplysningsloven.
Den europeiske menneskerettskonvensjonen (EMK) artikkel 8 lyder i norsk oversettelse:
«Art 8. Retten til respekt for privatliv og familieliv
1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.»
Rekkevidden av EMK artikkel 8 er behandlet blant annet i forarbeidene til politiregisterloven (Ot.prp. nr. 108 (2008-2009) punkt 4.3.1, proposisjonen ble fremmet på ny ved Prop. 12 L (2009-2010)). Kjernen i bestemmelsen er at den enkelte har krav på respekt for sitt privatliv, sitt hjem og sin korrespondanse (artikkel 8 nr. 1). Departementet legger til grunn at politiets behandling av personopplysninger skal ligge innenfor de rammer som EMK artikkel 8 oppstiller.
Vilkårene etter artikkel 8 nr. 2 for å gjøre begrensninger i den retten til privatliv og egne personopplysninger som ligger i artikkel 8 nr. 1, er for det første at begrensningen må være «i samsvar med loven». I dette ligger at begrensningene må ha grunnlag i en formell nasjonal norm som er tilgjengelig og gir forutsigbarhet for innbyggerne. For det andre må inngrepet være «nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter». I kravet til nødvendighet ligger blant annet at det må være forholdsmessighetmellom inngrepet og den samfunnsmessige verdien av dette. Kravet til forholdsmessighet utgjør en begrensning for hvilke inngrep lovgiver kan åpne for, selv om tiltaket gjelder eksempelvis kriminalitetsbekjempelse.
Også FNs konvensjon om sivile og politiske rettigheter artikkel 17 inneholder forbud mot vilkårlige eller ulovlige inngrep i privatliv og familieliv, hjem og korrespondanse, og rett til beskyttelse mot slike inngrep eller angrep. Denne konvensjonen antas ikke å inneholde flere begrensninger enn de som følger av EMK artikkel 8, jf. eksempelvis NOU 2004: 6 Mellom effektivitet og personvern, punkt 4.3.5.
4.2 Nærmere om adgangen til å benytte opplysninger fra passregisteret
Passloven § 8 utgjør det rettslige grunnlaget for det sentrale passregisteret. I tillegg til å regulere hvilke opplysninger som kan registreres der, angir bestemmelsen hvem som har tilgang til registeret. Av § 8 fjerde ledd fremgår at bare passmyndigheten, Kripos og norsk grensetollmyndighet skal ha tilgang til passregisteret. Etter § 9 kan det gis nærmere forskrifter til gjennomføring av loven. Passforskriften § 13 annet ledd lyder:
«Ansatte i norsk grensekontroll, Kripos og passmyndigheten gis kun tilgang til opplysningene i passregisteret til bruk for passutstedelse, grensekontroll, og ved innlevering og beslag, jf. passloven § 7.»
Politidistriktene og en del utenriksstasjoner er passmyndighet. Politiet kan i utgangspunktet likevel bare benytte opplysninger fra passregisteret innenfor de rammer som følger av loven. I tillegg til det som er uttrykkelig oppregnet i passforskriften § 13 annet ledd, antar departementet at opplysningene i passregisteret kan benyttes til etterforskning av saker om forfalskning og misbruk av pass, siden slik virksomhet er nært knyttet til passlovens formål. På basis av en presumsjon om samtykke, har departementet dessuten lagt til grunn at opplysninger fra passregisteret kan benyttes i saker om savnede personer, se også personopplysningsloven § 8 bokstav c og § 9 første ledd bokstav c. Også ellers vil samtykke fra den registrerte kunne gi grunnlag for å bruke opplysningene i passregisteret til andre formål.
Opplysninger i elektroniske registre kan være gjenstand for beslag og utlevering i samsvar med reglene i straffeprosessloven kapittel 16. Etter straffeprosessloven § 203 kan det tas beslag i «[t]ing» som antas å ha betydning som bevis i en straffesak. Ordet «ting» omfatter også opplysninger som er elektronisk lagret, jf. eksempelvis Bjerke, Keiserud og Sæther: Straffeprosessloven. Kommentarutgave 4. utgave side 711. Myndigheten til å beslutte beslag ligger i utgangspunktet hos påtalemyndigheten, og beslutningen skal så vidt mulig være skriftlig, jf. straffeprosessloven § 205. Når særlige grunner foreligger, kan påtalemyndigheten bringe spørsmål om beslag inn for retten, jf. § 205 annet ledd. Den som rammes av beslaget kan dessuten kreve at spørsmålet om opprettholdelse av dette bringes inn for retten. Påtalemyndigheten skal sørge for at den som rammes, blir gjort kjent med denne retten, jf. § 208. Etter straffeprosessloven § 210 kan videre retten (i hastetilfeller påtalemyndigheten, med etterfølgende fremleggelse av saken for retten) pålegge den som besitter en ting som antas å ha betydning som bevis, og som plikter å vitne i saken, å utlevere tingen. Beslag og utlevering etter disse bestemmelsene er utformet primært med tanke på tilfeller der den aktuelle tingen befinner seg hos andre enn politiet.
Politiregisterloven, som foreløpig ikke er i kraft, regulerer politiets og påtalemyndighetens behandling av opplysninger. Politiets forvaltningsvirksomhet og sivile gjøremål faller utenfor politiregisterlovens virkeområde, jf. politiregisterloven § 3 første ledd nr. 2. Loven regulerer således ikke spørsmål om politiets bruk av opplysningene i passregisteret.
4.3 Enkelte ytterligere bemerkninger om innholdet i dagens regler
Under høringen uttaler Politidirektoratet at det ikke kan se at kravet til nødvendighet og forholdsmessighet i EMK artikkel 8 og personopplysningsloven § 11 utgjør en slik begrensning for lovgiver som departementet har lagt til grunn. Direktoratet viser til uttalelse fra Politiets utlendingsenhet (PU), der det uttales blant annet:
”PU mener at det er sentralt i forbindelse med utførelsen av våre oppgaver at det er enkel tilgang til registre hvor personopplysninger kan undersøkes. Når det gjelder passregisteret, er dette også politiets eget register for personopplysninger i forbindelse med utstedelse av pass. Det følger av passloven § 8 at passmyndigheten, Kripos og norsk grensekontroll skal ha tilgang til passregisteret. Passloven § 2 regulerer hvem som er passmyndigheten, og første ledd gir politiet myndighet, jf. fotnoten vises det til politiloven § 2 nr 7. Ut fra ordlyden i passloven mener PU at det ikke fremgår klart at politiet som sådan ikke skal ha tilgang til registeret. Vi viser også til at passloven bygger på tidligere sedvanerett, hvor passvesenet utgjorde en del av den alminnelige politiforvaltning, og at pass ble også benevnt som politipass. (Ot.prp. nr. 61 (1996-97). Om lov om pass (passloven)). Det har således i all sin tid vært en oppfatning om at pass og passregisteret ”tilhører” politiet. At begrensningene i den senere personopplysningsloven § 11 skal være til hinder for politiets bruk av passregisteret, kunne høringsbrevet gitt en nærmere redegjørelse for.
Etter vår vurdering har politiet hatt behandlingsgrunnlag ved at registeret er politiets, og at bruk har vært saklig begrunnet i politiets virksomhet. Vi viser i denne sammenheng til høringsbrevets drøftelser av våre internasjonale forpliktelser, EMK artikkel 8 nr 2, og at politiets behandling av personopplysninger skal ligge innenfor rammen til EMK. Inngrep skal være nødvendig i et demokratisk samfunn, hvorav blant annet kriminalitetsbekjempelse og forebygging av uorden ligger innenfor de formålene som artikkel 8 nr 2 anerkjenner. Videre oppstiller EMK et krav om forholdsmessighet. I denne sammenheng må det sees hen til opplysningenes art/sensitivitet, opp mot formålet de er tenkt brukt for.
PU mener at politiets bruk av passregisteret har vært innenfor disse rammene, og at det må legges til grunn at i de tilfeller hvor politiet har tjenestelig behov for å be om identitetsopplysninger, bør politiet også ha adgang til enkelt å kontrollere disse i passregisteret. Vi viser til det vi skriver ovenfor om opplysningenes karakter.”
Videre uttaler Politidirektoratet at begrepet «uforenlig» i personopplysningsloven § 11 første ledd bokstav c om at opplysninger som hovedregel ikke senere skal brukes til formål som er «uforenlig med det opprinnelige formålet med innsamlingen», er relativt sterkt. Politidirektoratet viser videre til at PU stiller spørsmål ved om høringsnotatet gir uttrykk for en noe snever forståelse av hva som er formålet med passloven og passregisteret, og viser til følgende i uttalelsen fra Politiets utlendingsenhet:
”[..] Formålet med et pass er først og fremst at en stats utlendingsmyndighet kan kontrollere utlendingers identitet som ledd i den utlendingskontroll alle land foretar. Passet tjener derfor som et identitetsbevis for innehaveren. Mangler ved passet kan føre til avvisning ved grensen. Passet tjener også som legitimasjon for at innehaveren kan påberope seg utstederstatens diplomatiske beskyttelse. Norske myndigheter utsteder også reisedokumenter til utlendinger som oppholder seg i riket, dels utlendingspass, dels reisebevis for flyktninger, se Ot.prp. nr. 61 (1996-97) Om lov om pass (passloven).
Pass er altså et reisedokument, men også et viktig og sikkert personlig identitetsdokument, som benyttes også som et grunnlagsdokument for å verifisere personopplysninger i andre sammenhenger. Når pass også brukes som et identitetsdokument, er PU ikke umiddelbart enig i at sjekk av id-opplysninger opp mot opplysninger i passregisteret, er en bruk av de registrerte opplysningene som går utover passlovens formål. Formålet med passregisteret bør ikke sees som atskilt fra formålet med å ha et pass. Vi viser til at passregisteret er opprettet med det overordnede formål å sikre at pass og ulike personopplysninger kan kontrolleres.
Et grunnleggende utgangspunkt når politiet sjekker opplysninger i passregisteret er at det handler om identifisering og avklaring av ID i ulike sammenhenger. Siden rettigheter og plikter i samfunnet er knyttet opp til det enkelte individ, er det helt sentralt for alt politiarbeid at identifiseringen er korrekt.
Identitetsproblematikk, misbruk av identiteter, bruk av falske og/eller flere identiteter representerer en betydelig utfordring for myndighetene. PU nevner at ID-problematikk har blitt et såpass omfattende problem, nasjonalt og internasjonalt, at det i økende grad vanskeliggjør politiets oppgaver. Høringsbrevet behandler ikke disse problemstillingene.”
Departementet nevner at det er naturlig å anse politioppgaver som består i å avklare om en person er norsk statsborger, som å ligge innenfor passlovens formål. Det mer generelle behovet som høringsinstansen har tatt opp, drøftes i punkt 7.3 nedenfor.
Når det gjelder de mer generelle betraktninger om forståelsen av personopplysningsloven, ser departementet at det kan være forskjellig syn på rekkevidden av begrensningene der. Dette tilsier i seg selv at det vil være en fordel å få en lovbestemmelse som regulerer politiets adgang til å benytte opplysninger fra passregisteret. Etter departementets oppfatning er det viktig at politiets behandling av personopplysninger ligger innenfor kravene etter EMK artikkel 8, herunder at den behandlingen av personopplysninger som det åpnes for, skal være nødvendig og forholdsmessig. Det er ikke nødvendig i denne sammenheng å gå ytterligere inn på spørsmålet om rekkevidden av begrensningene etter dagens rett.
Presseorganisasjonene Norsk Presseforbund, Norsk Redaktørforening og Norsk Journalistlag har under høringen etterlyst en beskrivelse av allmennhetens innsynsrett vedrørende passregisteret. Organisasjonene uttaler blant annet at opplysningene i registeret som hovedregel vil være offentlige i medhold av offentleglova, og at selv om det er hjemmel for å unnta personbilde i passregisteret, har pressen som hovedregel innsyn i registerkortets tekst. Presseorganisasjonen nevner også at passregisteret kan gi avgjørende informasjon til bruk i journalistikken.
Departementet nevner at spørsmål om allmennhetens rett til innsyn i passregisteret ikke er særskilt regulert i passloven. Rett til innsyn kan imidlertid følge av offentleglova. Etter offentleglova § 3 har allmennheten som hovedregel rett til innsyn i «[s]aksdokument, journalar og liknande registre for organet». Med ordet «dokument» menes en logisk avgrenset informasjonsmengde som er lagret på et medium for senere lesing, lytting, fremvisning, overføring eller lignende, jf. offentleglova § 4 første ledd. Opplysninger som er underlagt taushetsplikt, er unntatt fra innsyn, jf. § 13 første ledd. Videre åpner loven for å gjøre unntak fra innsynsretten for en del andre typer informasjon, blant annet fødselsnummer, jf. offentleglova § 26 femte ledd. Etter offentleglova § 26 tredje ledd første punktum kan det nektes innsyn i «personbilete som er teke inn i eit personregister». I departementets «Rettleiar til offentleglova» punkt 8.18 er passregisteret nevnt som eksempel på et slikt register. Videre er det uttalt at det ikke bør praktiseres meroffentlighet for bilder omfattet av denne bestemmelsen i verneperioden etter åndsverkloven § 45 c siste ledd, dersom ikke et av vilkårene etter åndsverkloven § 45 c første ledd for å vise bildet offentlig, er oppfylt. Etter denne bestemmelsen kan bildet vises offentlig blant annet dersom det har «aktuell og allmenn interesse».
4.4 Kort om svensk og dansk rett
Etter svensk passlag (1978:302) er politiet passmyndighet i riket, jf. § 2 annet ledd. Etter samme lov § 6 annet ledd nr. 1 må passøker avgi fingeravtrykk og et ansiktsbilde i digitalt format. Bildet og fingeravtrykket lagres i passet, jf. § 6 a. Fingeravtrykk og biometriske data fra disse og fra ansiktsbilde skal umiddelbart slettes når passet er utlevert eller passøknaden trukket eller avslått, jf. samme bestemmelse.
Etter § 6 b kan ikke fingeravtrykk og ansiktsbilde, eller biometriske data som kan tas frem fra disse, anvendes ved søk ved hjelp av automatisert behandling. Av Prop. 2004/05:119 Ökad säkerhet i pass m.m. fremgår at man med denne bestemmelsen har ment å utelukke at biometriske data som tas frem i forbindelse med utstedelse av pass blir spart hos myndighetene for eksempelvis andre typer kontroller, og at ansiktsbilde og biometriske data fra dette ikke skal kunne brukes ved søk ved hjelp av automatisert behandling, for eksempel for identifisering av en ukjent person (proposisjonen punkt 4.2.3). Videre er det i Prop. 2008/09:132 Fingeravtryck i pass tatt opp spørsmål om de digitale ansiktsbildene og/eller fingeravtrykk bør kunne spares i passregisteret og brukes for automatisk søkning, slik at man ved behandling av nye passøknader kan gjøre rutinemessige undersøkelser opp mot materialet, og på den måten forhindre at en person kan skaffe seg flere pass med ulike identiteter. I proposisjonen uttales det blant annet at denne gevinsten må avveies mot de risiki for den enkeltes integritet som en slik mulighet skulle kunne innebære, og at det ved den anledning (innføring av fingeravtrykk i pass) ikke var grunn til å vurdere spørsmålet annerledes enn ved innføring av ansiktsbilder i pass (proposisjonen punkt 4.2 og 4.3).
Etter passförordning (1979:664) § 23 skal Rikspolisstyrelsen føre blant annet et sentralt passregister. Bestemmelsen lyder:
«23 § Rikspolisstyrelsen skall föra ett centralt passregister samt ett centralt register över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302). Uppgifter förs in i passregistret av Rikspolisstyrelsen och passmyndighet inom riket.
Rikspolisstyrelsen skall på begäran lämna ut uppgift i form av fotografisk bild av enskild från passregistret till polismyndighet, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten.»
Det fremgår ikke av bestemmelsen hvilke opplysninger som skal føres inn i passregisteret. Henvisningen i første ledd til passloven § 20 nr. 1 og 3 indikerer imidlertid at opplysninger om behov for særskilt passtillatelse for mennesker under psykisk omsorg, i en del tilfeller skal i et eget register.
Det svenske politiet har direkte tilgang til opplysninger i passregisteret blant annet som ledd i grensekontrollen og for identifikasjonskontroll i annen politivirksomhet. Reguleringen i passloven med tilhørende forordning er summarisk. Spørsmål om reguleringen av passregisteret må endres på bakgrunn av en ny grunnlovsbestemmelse som styrker vernet for den personlige integriteten, er under utredning.
I Danmark er det som utgangspunkt kommunene som behandler søknader om pass fra danske borgere i Danmark, jf. bekendtgørelse nr. 1003 av 6. oktober 2006 § 4 og lov om pas til danske statsborgere m.v. § 1. Politiet har imidlertid også oppgaver innen passforvaltningen. Blant annet har politiet myndighet til å nekte utstedelse av pass eller inndra pass i enkelte tilfeller, jf. passloven § 2, og behandler saker der passøker opprettholder sin søknad selv om det foreligger en markering i det sentale passregisteret som taler imot passutstedelse, jf. nevnte bekendtgørelse § 13. Politiet utsteder pass til danske statsborgere på Færøyene og Grønland.
Også i Danmark avgis det fra 1. januar 2012 fingeravtrykk, som sammen med en kopi av søkerens foto lagres digitalt i passet.
Rigspolitichefen er behandlingsansvarlig for det sentrale passregisteret. Det er ikke regulert særskilt i den danske passlovgivningen hvilke opplysninger passregisteret skal inneholde. For spørsmål om tilgang for andre offentlige myndigheter til opplysningene i passregisteret, sier den danske forvaltningsloven § 32 at «[d]en, der virker inden for den offentlige forvaltning, må ikke i den forbindelse skaffe sig fortrolige oplysninger, som ikke er af betydning for udførelsen av den pågældendes opgaver». Spørsmål om anvendelse av opplysningene i registeret, reguleres videre av den danske persondataloven, som blant annet inneholder følgende bestemmelse (§ 5 annet ledd):
«Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke uforenelig med de formål, hvortil oplysningene er indsamlet.»
Som det fremgår, inneholder også dansk rett en bestemmelse om at innsamling av personopplysninger skal skje til uttrykkelig angitte og saklige formål, og at senere behandling av opplysningene ikke må være uforenlig med disse formålene. Videre inneholder persondataloven kapittel 4 regler om behandlingsgrunnlag for ulike kategorier av personopplysninger. Systematisk tilsvarer disse reglene den norske personopplysningslovens regler om behandlingsgrunnlag, men utformingen er til dels forskjellig.
4.5 Kort om reform av EUs regelverk om personvern
Personopplysningsloven har bakgrunn i EUs personverndirektiv (direktiv 95/46/EF). Det pågår et arbeid med å modernisere EUs personvernregelverk, blant annet for å møte de utfordringer som den teknologiske utviklingen har skapt. I januar 2012 la EU-kommisjonen frem utkast til revidert personvernregelverk, nærmere bestemt forslag til en generell forordning om databeskyttelse, og til et direktiv om kompetente myndigheters behandling av personopplysninger ved kriminalitetsbekjempelse. Sistnevnte vil innebære en direktivfesting av EUs rammebeslutning 2008/977/JHA om behandling av personopplysninger innenfor rammene av politisamarbeid og annet rettslig samarbeid i straffesaker. Politiregisterloven, som foreløpig ikke er i kraft, gjennomfører i stor grad reglene i rammebeslutningen. Arbeidet med revisjon av EUs personvernregelverk er noe nærmere omtalt i Meld. St. 11 (2012-2013) Personvern – utsikter og utfordringar kapittel 3.
Forslagene til en generell personvernforordning og til et direktiv vedrørende kriminalitetsbekjempelse er fortsatt til behandling i EU, og det er uklart hvordan regelverket kommer til å se ut, og når det blir ferdig. For det som er tema for denne proposisjonen, ser ikke departementet tungtveiende grunner til å avvente EUs revisjon.