Høringssvar fra Digitaliseringsdirektoratet

Dato: 30.09.2020

Høringssvar til: Høringsnotat om gjennomføring av EUs inn- og utreisesystem (Entry/Exit System) og fremreisesystem (European Travel Information and Authorization System – ETIAS)

Digitaliseringsdirektoratet har nylig opprettet Nasjonalt ressurssenter for deling av data. En viktig oppgave for ressurssenteret skal være å fremme digitaliseringsvennlig regelverk, og en sentral del av dette er å gi høringsuttalelser som påpeker regulatoriske utfordringer eller hindringer knyttet til digitalisering og datadeling i lovgivningsarbeid. I den forbindelse vil Digitaliseringsdirektoratet komme med innspill til den foreslåtte bestemmelsene i politiregisterforskriften §§ 55-14 og 56-14:

Opplysninger som er hentet fra EUs inn- og utreisesystem (EES) Opplysninger som er registrert etter artikkel 28 i Europaparlaments- og rådsforordning (EU) nr. 2017/2226 skal merkes. Opplysningene kan bare brukes i den saken de ble innhentet for og skal slettes så snart formålet med registreringen er oppnådd.

Departementet ønsker med dette å lovfeste merking av opplysningene for på den måten å sikre at bruken begrenses til den saken de er innhentet for og for å sikre at de slettes innenfor de angitte tidsrammene. Digitaliseringsdirektoratet er positive til at departementet søker å lage bestemmelser som bidrar til å ivareta de registrertes personvern og rettsikkerhet, men er skeptiske til utformingen av bestemmelsen.

Det er en grunnleggende forutsetning for en fleksibel og digitaliseringsvennlig lovgiving at den er teknologinøytral. Direktoratet vil derfor bemerke at forslaget som innebærer at de aktuelle opplysningene «skal merkes», ikke fremstår som teknologinøytral lovgiving. Merking kan være én av flere aktuelle metoder som kan benyttes for å oppnå formålet med bestemmelsen. Andre løsninger vil eksempelvis kunne være å underlegge opplysningene streng tilgangsstyring eller innføring av automatiske sletterutiner. Direktoratet er uansett av den oppfatning at det ikke er lovgiver som er nærmest til å vurdere hvilke løsningstekniske virkemidler som er best egnet til å oppnå formålet, men at dette bør vurderes av den behandlingsansvarlige.

Etter vår vurdering vil en teknologinøytral formulering der lovgiver heller gir den behandlingsansvarlige et påbud om å sørge for at opplysningen underlegges adekvate tekniske og/eller organisatoriske tiltak som sikrer at formålsbegrensning og slettefrister etterleves, være langt mer hensiktsmessig og gi bestemmelsen den fleksibilitet som er nødvendig i en tid der teknologien utvikles svært raskt.

Til toppen