5 Forslag til inkorporasjon av interoperabilitetsforordningene i grenseloven
5.1 Forslaget i høringsnotatet
I høringsnotatet foreslo departementet at interoperabilitetsforordningene gjennomføres i norsk rett ved inkorporasjon, i form av en henvisningsbestemmelse som gjør forordningene til norsk lov uten omskrivninger. En slik bestemmelse ble foreslått inntatt i grenseloven § 8 første ledd nytt nr. 4 og 5.
I høringsnotatet ble det vist til at rammeløsningen for interoperabilitet også omfatter informasjonssystemet ECRIS-TCN, som ikke omfattes av Schengen-samarbeidet og som Norge heller ikke er tilknyttet gjennom egen avtale. Departementet vurderte at det ikke var nødvendig å presisere i inkorporasjonsbestemmelsen at bestemmelser som omhandler dette informasjonssystemet, ikke vil gjelde for Norge.
Departementet viste til at det følger av artikkel 5 i tilknytningsavtalen mellom Schengen-statene og Norge at avtalen ikke gjelder for Svalbard, men for Jan Mayen. Interoperabilitetsforordningene vil få samme virkeområde når disse inkorporeres i grenseloven, jf. grenseloven §§ 3 og 25 nr. 1, jf. grenseforskriften § 1-2. Det innebærer at forordningene vil gjelde på Jan Mayen, men ikke på Svalbard.
5.2 Høringsinstansenes syn
Et flertall av høringsinstansene som har uttalt seg om inkorporasjon av interoperabilitetsforordningene, mener at det bør gis en egen interoperabilitetslov, fremfor at forordningene skal inkorporeres i grenseloven. Dette gjelder Politidirektoratet, Kripos, Politiets utlendingsenhet (PU), Oslo politidistrikt, Innlandet politidistrikt, Øst politidistrikt, Møre og Romsdal politidistrikt, Utlendingsdirektoratet (UDI) og Datatilsynet. Flere av instansene mener at plassering i grenseloven er lite egnet, siden systemene skal brukes på tvers av utlendingsforvaltning, grensekontroll og politisamarbeid, i tillegg til at de underliggende rettsaktene er inkorporert i ulike lover. Mange av de samme høringsinstansene mener også at det bør gis mer detaljerte lov- og/eller forskriftsregler enn det departementet har foreslått, for å sikre et mer tilgjengelig og forståelig regelverk som praktiseres i tråd med forordningene.
Politidirektoratet mener det er behov for klare nasjonale reguleringer med nærmere bestemmelser om blant annet formål, definisjoner, informasjonssikkerhet og personvern. Det anføres å være behov for å tydeliggjøre hvilke roller og ansvar de ulike myndighetene får ved gjennomføring av forordningene, ikke bare hva gjelder behandlingsansvar, slik departementet har foreslått. Dersom departementet likevel gjennomfører forordningene ved inkorporasjon i grenseloven, mener direktoratet at det viktig at det utarbeides grundige forarbeider for å gjøre regelverket tilgjengelig og brukervennlig, slik at det blir enklere å utarbeide instrukser og retningslinjer om systemene og avklare rettstilstanden.
Politidirektoratet savner en tydeligere beskrivelse av når personverndirektivet (LED) får anvendelse for politi og påtalemyndighet i deres ivaretakelse av oppgaver etter forordningene om EUs informasjonssystemer på norsk side. For de registrertes rettigheter er det flere områder som skiller seg fra personvernforordningen (GDPR), blant annet når det gjelder tidsfrister i artikkel 48. Politidirektoratet mener det er viktig for lik håndtering av de registrertes rettigheter at departementet i sitt videre arbeid omtaler disse ulikhetene nærmere. Datatilsynet har lignende synspunkter.
PU mener at interoperabilitetsforordningene må inkorporeres i norsk rett i en egen lov som også gir bestemmelser om formålet med forordningene. PU ønsker at forordningenes bestemmelser om blant annet materiell og personell kompetanse og om de fire interoperabilitetskomponentene, inntas i lovteksten. Forordningene er omfattende, detaljerte og tekniske, og sentrale deler av forordningene bør derfor fremkomme av lov, hvor forordningenes bestemmelser formuleres i lovteksten med mer forståelig språkbruk. Inkorporering i grenseloven gir mindre forståelse for sammenhengene i regelverket om informasjonsutveksling på tvers av systemene og hva interoperabilitet egentlig er.
UDI er positiv til forslaget om inkorporasjon, men stiller spørsmål ved om grenseloven er riktig sted for gjennomføringen og om forslaget sikrer nødvendig tilgjengelighet. Den foreslåtte forskriften har også et videre virkeområde enn grenseloven og er heller ikke utgangspunkt for utlendingsmyndighetenes virksomhet. UDI mener det er behov for å regulere avgjørende bestemmelser i en egen interoperabilitetslov med blant annet definisjon av de ulike tekniske komponentene, formål og virkeområde, samt bestemmelser om personvern og databehandleransvar. Loven kan utarbeides på tilsvarende måte som den nye SIS-loven. En egen lov vil gjøre ansvarsfordelingen mellom de ulike oppgavene på utlendingsfeltet, grensekontrollen og politi- og rettshåndhevende myndigheter tydeligere, i tillegg til å være en fordel for brukerne. UDI påpeker at rettsaktene legger opp til omfattende deling og sammenstilling av personopplysninger, og at de vide hjemlene for inngrep tilsier at konsekvensene for den registrertes personvern i enda større grad burde vært underlagt en konkret vurdering i høringsnotatet.
Datatilsynet mener også at forordningene bør gjennomføres i en egen lov, og fremhever betydningen av et klart og tilgjengelig regelverk og klare ansvarsforhold. Tilsynet stiller spørsmål ved om forslaget om å gjennomføre forordningene i grenseloven bidrar til dette. På enkelte punkter mener tilsynet det er behov for mer utfyllende lov- og forskriftsregulering enn det departementet legger opp til. Datatilsynet peker på at hvilket personvernregelverk som kommer til anvendelse vil ha betydning bl.a. for den registrertes rettigheter og Datatilsynets kompetanse og virkemidler. I det videre lovarbeidet bør det derfor klargjøres hvilke behandlinger i interoperabilitetsløsningen som faller inn under politiregisterloven. Datatilsynet fremhever betydningen av klare regler om de registrertes rettigheter, og mener det bør vurderes å innta en bestemmelse om registrertes rettigheter i lov eller forskrift.
Utlendingsnemnda (UNE) mener at direkteinkorporasjon av forordningene i norsk rett i utgangspunktet gir lite informasjon og klarhet i hvilke myndigheter som har hjemmel til hva og når i de ulike informasjonssystemene. Også Oslo statsadvokatembeter påpeker at inkorporasjon gjennom henvisninger til rettsaktene gjør at det kan være vanskelig å få oversikt over hva som er gjeldende rett.
Politiets sikkerhetstjeneste (PST) støtter departementets valg av inkorporasjon fremfor transformasjon, og peker på at utfordringer med tilgjengelighet kan kompenseres ved utarbeidelse av retningslinjer mv. for håndhevelse av regelverket. PST har også forståelse for departementets begrunnelse for valg av inkorporering i grenseloven.
Tolletaten oppfatter at endringene som foreslås vil øke kvaliteten på opplysningene i de systemer som reguleres, herunder SIS, noe som vil være nyttig også for Tolletaten.
Antirasistisk senter mener at forslagene i høringsnotatet ikke bør gjennomføres, alternativt bør en gjennomføring følges av nødvendige tiltak som motvirker bekymringene forslaget reiser. De mener forordningene er diskriminerende og har sitt utgangspunkt i ubegrunnede fordommer om en direkte sammenheng mellom migrasjon og kriminalitet. Videre kan forordningene forsterke mistillit mellom minoritets- og majoritetsbefolkningen og føre til mer etnisk profilering. I tillegg undergraver forordningene EUs arbeid for beskyttelse av personlig informasjon, som GDPR.
5.3 Departementets vurderinger
Departementet opprettholder forslaget om at interoperabilitetsforordningene gjennomføres ved inkorporasjon i grenseloven § 8, der flere andre rettsakter er gjennomført. Forordningene vil gjelde som norsk lov uansett i hvilken lov inkorporeringen gjøres. Det er derfor heller ikke av betydning at grenseloven i dag ikke regulerer utlendingsmyndighetenes virksomhet.
Departementet ser at inkorporering gjør regelverket vanskelig tilgjengelig, og at forordningenes struktur, språkform og tekniske detaljnivå avviker fra det som er vanlig i norsk lovgivning. Departementet ser det likevel ikke som aktuelt å gi lovregler som gjentar, omskriver eller sammenfatter flere av forordningenes artikler. Forordninger skal sikre like rettsregler i alle stater tilknyttet Schengen-regelverket. De skal, så langt det ikke eksplisitt er gitt valgfrihet, ensartet følges i alle detaljer og i hele Schengen-området. Å gjengi bestemmelser fra forordningene i norsk lovgivning medfører en risiko for at nasjonal regulering og praksis kan komme til å avvike fra forordningenes krav. Rettsaktenes ordlyd vil uansett være bestemmende for hva som gjelder. Av den grunn er det verken ønskelig eller hensiktsmessig med detaljerte lov- og eventuelt forskriftsbestemmelser som gjentar forordningen.
Departementet peker også på at forordningene gir svært lite nasjonal valgfrihet ut over muligheten for å åpne for søk etter artikkel 20, som omtales i proposisjonen punkt 9. Det er dermed svært få forhold som kan reguleres og presiseres i lovs form, og departementet mener at det ikke vil gi større klarhet eller forutberegnelighet om inkorporasjonsbestemmelsen inntas i en egen lov. I det videre arbeidet med forskriften vil departementet vurdere om det er behov for noe mer utfyllende regler enn det som ble foreslått, slik flere høringsinstanser har bedt om. Departementet påpeker likevel at forskriftsregulering ikke nødvendigvis er den rette måten å avklare de spørsmålene høringsinstansene tar opp, men at disse heller må avklares i etatsspesifikke retningslinjer og veiledninger til de som skal benytte systemene.
Departementet viser til at interoperabilitetsforordningene i stor grad regulerer den tekniske samhandlingen mellom ulike informasjonssystemer som er regulert i ulike rettsakter, og som Norge allerede har gjennomført. Personvernkonsekvensene av de enkelte rettsaktene er vurdert ved inkorporeringen. Interoperabilitetsforordningene medfører ikke at det skal behandles flere opplysninger, og opplysningene skal ikke lagres i en lengre periode enn det som allerede følger av rettsaktene om de underliggende systemene. At systemene kobles mot hverandre for å gi enklere tilgang til opplysninger og å sikre at personer ikke er registrert med ulike identiteter i ulike systemer, vurderes å innebære relativt begrensede personvernkonsekvenser for de registrerte. Konsekvensene er uansett forholdsmessige ut fra forordningenes formål.
Forordningene inneholder også regler som ivaretar den registrertes rettigheter. Personvernforordningen ((EU) 2016/679) og personverndirektivet ((EU) 2016/680) vil gjelde for behandlingen med de presiseringer som følger av interoperabilitetsforordningene, avhengig av til hvilket formål behandlingen skjer. Datatilsynet vil være tilsynsmyndighet, uavhengig av hvilket personvernregelverk som kommer til anvendelse i det enkelte tilfelle. Departementet ser at det i noen tilfeller kan være uklart hvilket personvernregelverk som kommer til anvendelse, men dette er en utfordring som ikke er ny med interoperabilitetsforordningene. Departementet mener at behovet for å klargjøre hvilket personvernregelverk som gjelder for ulike behandlinger og de registrertes rettigheter uansett ikke bør reguleres i lov, men det vil vurderes om det kan og bør gis noen nærmere presiseringer i den nye forskriften.