4 Nasjonale og internasjonale rammer for behandlingen av personopplysninger i politiet og påtalemyndigheten

4.1 Innledning

Det finnes både nasjonale og internasjonale regelsett av betydning for utformingen av regler om behandling av personopplysninger i politiet og påtalemyndigheten. Personopplysningsloven gir generelle regler om behandling av personopplysninger og vil derved også være retningsgivende for politiregisterloven. I tillegg finnes det forskjellige internasjonale regelsett som danner rammer for norsk lovgivning. Noen av disse er konvensjoner som er folkerettslig bindende for Norge, mens andre er anbefalinger som ikke er rettslig bindende. Av særlig betydning i denne sammenheng er Den europeiske menneskerettskonvensjonen av 4. november 1950 (EMK), som gjennom menneskerettsloven av 21. mai 1999 nr. 30 er gjort til norsk lov, og som i følge dens § 3 ved motstrid går foran annen norsk lovgivning. Den europeiske menneskerettighetsdomstol (EMD) har kompetanse til å avsi dommer som binder konvensjonslandene, herunder Norge. Domstolens avgjørelser har ført til at konvensjonsrettighetenes innhold har blitt nærmere klarlagt. Det er derfor påkrevd å ta hensyn til EMDs tolking av bestemmelsene i EMK ved utformingen av politiregisterloven, jf. nærmere om dette i punkt 4.3.1.

4.2 Personopplysningsloven

Personopplysningsloven trådte i kraft 1. januar 2001, og kommer i utgangspunktet til anvendelse på all elektronisk behandling av personopplysninger, jf. personopplysningsloven § 3 første ledd bokstav a. Lovens hovedregel er at en behandling av personopplysninger skal meldes til Datatilsynet, men ved behandling av sensitive personopplysninger, eller når behandlingen åpenbart krenker tungtveiende personverninteresser, er behandlingen konsesjonspliktig, jf. personopplysningsloven §§ 31 og 33.

Av personopplysningsloven § 5 følger det at: «Bestemmelsene i loven gjelder for behandling av personopplysninger om ikke annet følger av en særskilt lov som regulerer behandlingsmåten».

Også i personopplysningslovens forarbeider fremheves det alminnelige utgangspunktet om at personopplysningsloven som generell lov må vike for spesialbestemmelser i annet lovverk. Politiregisterloven vil derfor som spesiallov gå foran personopplysningsloven.

Politiets behandling av opplysninger til forvaltningsvirksomhet vil som utgangspunkt reguleres av personopplysningsloven. En del forvaltningsregistre, som passregisteret og våpenregisteret, er imidlertid regulert i egen lov, og vil i henhold til personopplysningsloven § 5 gå foran personopplysningsloven i den grad særlovene gir avvikende regler. Utover dette gjelder imidlertid personopplysningsloven fullt ut.

4.3 Internasjonale konvensjoner

4.3.1 Menneskerettigheter - EMK artikkel 8

EMK artikkel 8 har følgende ordlyd:

«1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.

2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.»

EMK artikkel 8 (1) gir den enkelte krav på respekt for sitt privatliv, sitt hjem og sin korrespondanse. Vernet etter EMK artikkel 8 (1) er imidlertid ikke absolutt. Det sentrale er at vilkårene i EMK artikkel 8 (2) må være oppfylt for at inngrep etter EMK artikkel 8 (1) skal kunne skje. Inngrepet må etter dette ha hjemmel i lov, det må ha et relevant formål, og det må være nødvendig i et demokratisk samfunn. I det siste vilkåret ligger det også et krav til forholdsmessighet.

Politiets behandling av personopplysninger er et inngrep som ligger innenfor det EMK artikkel 8 (1) skal beskytte, jf. også utvalgets anførsler i punkt 5.2.2.2 i utredningen med henvisninger til EMD"s og kommisjonens praksis. Som følge av dette må politiregisterlovens bestemmelser oppfylle vilkårene i EMK artikkel 8 (2).

For å kunne gjøre inngrep i de vernede interesser etter EMK artikkel 8 (1) må formålet med inngrepet falle inn under et av de formål som er nevnt i EMK artikkel 8 (2). Relevante formål er blant annet hensynet til «offentlig trygghet» og hensynet til å «forebygge uorden og kriminalitet». Det kan ikke være tvilsomt at politiets behandling av opplysninger som omfattes av politiregisterloven, oppfyller formålskravet. Likeledes anses PSTs behandling av opplysninger av hensyn til rikets sikkerhet å tjene et relevant formål.

Inngrep i privatlivet etter EMK artikkel 8 (2) krever videre at inngrepet må skje «i samsvar med loven». Lovskravet i EMK kan imidlertid ikke uten videre likestilles med vårt internrettslige legalitetsprinsipp. Sistnevnte prinsipp krever som den store hovedregel at inngrepet er forankret i formell lov, noe som ikke er et absolutt krav etter EMK. Formuleringen «i samsvar med loven» omfatter også hjemler som har sitt grunnlag i sedvane eller rettspraksis, noe som har sin bakgrunn i Storbritannias common law-system. I tillegg til kravet om at inngrepet må være hjemlet i en formell nasjonal norm, har EMD fastslått at normen må være forutberegnelig. Det betyr at normen både må være tilgjengelig og forutsigbar. Tilgjengelighetskravet referer til regelens praktiske tilgjengelighet. Dette innebærer at regelen som hjemler inngrepet i all hovedsak må være offentliggjort for å oppfylle kravet. Når det gjelder kravet om forutberegnelighet er det sentrale at regelen gir en tilfredsstillende indikasjon på når et inngrep kan bli aktuelt samt at den berørte må kunne overskue konsekvensene av inngrepet. En forutsetning for dette er at regelen er noenlunde presist formulert slik at innholdet lar seg utlede på en adekvat måte. I de tilfellene der regelen gir rom for skjønn, må det gis rammer for skjønnsutøvelsen for å unngå vilkårlige inngrep. Dette er imidlertid ikke ensbetydende med at det stilles strenge krav til detaljeringsnivået. En for detaljert regulering vil lett kunne hindre en effektiv kriminalitetsbekjempelse.

Disse kravene setter klare rammer for utformingen av politiregisterloven. For det første må all behandling av personopplysninger fra politiets side ha et rettslig grunnlag. Dernest må regelverket være tilgjengelig og utformes slik at innholdet er rimelig presist. Når reglene samles i en egen lov og utfylles med mer detaljerte bestemmelser i forskifts form, anser departementet vilkårene for oppfylt.

I vilkåret «nødvendig i et demokratisk samfunn» ligger det et krav om «forholdsmessighet», og dette vilkåret er for øvrig det eneste som begrenser lovgiverens adgang til å gi politiet fullmakter for inngrep som faller inn under de vernede interesser i EMK artikkel 8 (2). Det sentrale ved vilkåret er at det må være forholdsmessighet mellom mål og midler. Borgernes forventning om å kunne leve sine liv uten at staten blander seg inn i deres private sfære må veies mot samfunnets behov for å kunne ta i bruk tiltak som ivaretar statens sikkerhet og letter kriminalitetsbekjempelsen. Det kreves ikke at inngrepet skal anses uunnværlig, men det er på den annen side ikke tilstrekkelig at tiltaket er «nyttig». Vurderingen av hva som er nødvendig og forholdsmessig vil kunne variere fra livsområde til livsområde. EMD har tillagt konvensjonsstatene en viss grad av skjønn, en såkalt «margin of appreciation», ved tolking av konvensjonen, og denne skjønnsmarginen er av særlig stor betydning ved forholdsmessighetsvurderingen.

Kravet til forholdsmessighet volder ikke store problemer i forhold til politiets behandling av personopplysninger. EMD har gjentatte ganger slått fast at politiets behandling av personopplysninger er nødvendig for å ivareta politimessige oppgaver. Politiets registrering og den øvrige informasjonsbehandlingen bidrar i vesentlig grad til kriminalitetsbekjempelsen, ikke minst i forbindelse med politiets forebyggende virksomhet. Forholdsmessighetskravet må likevel være en viktig ledetråd ved utformingen av de regler som danner grunnlaget for politiets informasjonsbehandling. Det må være et grunnleggende prinsipp at fullmaktene ikke gjøres videre enn det som er nødvendig i forhold til det formålet inngrepet skal ivareta. Siden kriminalitetsbekjempelse er et nokså vidt formål, kan det være behov for å foreta en forholdsmessighetsvurdering selv om behandlingen i og for seg er nødvendig for å bekjempe kriminalitet. Det kan eksempelvis være hensiktsmessig å tilpasse politiets fullmakter til kriminalitetens alvorlighetsgrad, slik at fullmaktene er videre ved alvorlig kriminalitet. Selv om all form for kriminalitet i utgangspunktet er en trussel mot det demokratiske samfunnet, er samfunnet ikke tjent med en for omfattende overvåking fra politiets side.

Det er også viktig å være oppmerksom på at ulempene ved utvidete fullmakter må søkes kompensert ved gode kontrollordninger. Selv om behandlingen av personopplysninger fra politiets side anses både nødvendig og forholdsmessig, er det samtidig et overordnet mål å etablere kontrollordninger som hindrer misbruk. Dette vil departementet komme tilbake til i kapittel 16.

4.3.2 Personverndirektivet

Norge er bundet av Europaparlamentets- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet). Direktivet er inkorporert gjennom personopplysningsloven.

Det følger av direktivet art. 3 nr. 2 at direktivet ikke gjelder for:

«behandling av personopplysninger som utføres i forbindelse med utøvelse av virksomhet som ikke omfattes av fellesskapsrettens virkeområde, f.eks. den virksomhet som er fastsatt i avdeling V og VI i traktaten om Den europeiske union, og ikke under noen omstendighet på behandling som gjelder offentlig sikkerhet, forsvar, statens sikkerhet (herunder statens økonomiske interesser når behandlingen er forbundet med spørsmål om statens sikkerhet) og statens virksomhet på det strafferettslige område».

I hvilken grad direktivet kommer til anvendelse på politiets og PSTs behandling av personopplysninger, kommer departementet tilbake til i kapittel 8. Det kan imidlertid allerede nå bemerkes at direktivet i all hovedsak ikke gjelder for politiregisterlovens anvendelsesområde.

Slik det fremgår av punkt 8.4.4 foreslår departementet at politiets forvaltningsvirksomhet skal falle utenfor politiregisterloven. For denne delen av virksomheten kommer således personopplysningsloven og personverndirektivet direkte til anvendelse.

4.3.3 Europarådets personvernkonvensjon

Europarådets personvernkonvensjon (Convention for the Protection of Individuals with regard to the Automatic Prosessing for Personal Data) 28. januar 1981 nr. 108 er ratifisert av Norge, og trådte i kraft 1. oktober 1985.

Personvernkonvensjonen gjelder både for privat og offentlig sektor. I artikkel 9 er det åpnet for at det kan gjøres unntak fra en del sentrale personvernprinsipper, dersom det blir fastsatt i lov og er nødvendig i et demokratisk samfunn for å ivareta «state security, public safety, (...) or the suppression of criminal offences». Unntaket er bygget opp på samme måte som unntaket i EMK artikkel 8 (2), se nærmere punkt 4.3.

Europarådet har imidlertid laget en rekommandasjon for politisektoren, hvor det oppstilles retningslinjer for hva som bør gjelde der det er gjort unntak fra personvernkonvensjonen. Rekommandasjonen er ikke folkerettslig bindende. For en nærmere behandling av konvensjonen, se punkt 4.3.4.

4.3.4 Europarådets rekommandasjon om behandling av personopplysninger i politiet (politirekommandasjon)

På bakgrunn av økende behandling av personopplysninger i politiet og utviklingen innenfor IT-sektoren, vedtok Europarådet den 17. september 1987 «Recommendation No. R (87) 15 Regulating the use of personal data in the police sector». Rekommandasjonen har sin bakgrunn i Euorparådets personvernkonvensjon av 28. januar 1981 nr. 108, og har som siktemål å gjøre prinsippene i konvensjonen klarere for politisektoren. I arbeidet med rekommandasjonen er prinsippene nedfelt i EMK artikkel 8 ment ivaretatt.

Rekommandasjonen er ikke rettslig bindende for medlemsstatene, men Europarådet anbefaler at de tar hensyn til rekommandasjonens prinsipper i sin lovgivning, og at prinsippene blir gjort tilgjengelige for allmennheten.

Hensikten med rekommandasjonen er å finne en hensiktsmessig balanse mellom hensynet til kriminalitetsbekjempelsen og hensynet til personvern, jf. rekommandasjonens fortale 5. avsnitt. Rekommandasjonen kommer til anvendelse på innsamling, lagring, bruk og overføring av persondata som behandles elektronisk for politiformål, og omfatter således både politiets straffesaksbehandling og annet arbeid. Den gjelder også arbeid knyttet til rikets sikkerhet, men den begrenser ikke landets handlingsfrihet i disse tilfellene. Det følger av kommentarene til konvensjonen at «state security» skal forstås som «protecting national sovereignty against internal or external threats, including the protection of the international relations of the state».

Det understrekes i kommentarene til rekommandasjonen punkt 30 at den kun oppstiller minimumsgarantier, og at medlemsstatene står fritt til å gi den enkelte borger bedre beskyttelse. Departementet kommer tilbake til det nærmere innhold av rekommandasjonen i tilknytning til omtalen av de ulike forslagene i proposisjonen.

4.4 Rammebeslutning om personvern i tredje søyle

I desember 2005 fremmet kommisjonen forslag til ny rammebeslutning om personvern ved behandling av opplysninger i forbindelse med politi- og strafferettssamarbeid. Rammebeslutningen ved ble vedtatt på Rådsmøtet 27. november 2008.

Rammebeslutningen regulerer behandling av personopplysninger innenfor rammene av politisamarbeid og annet rettslig samarbeid i straffesaker. Instrumentet må ses på bakgrunn av at det er iverksatt ulike tiltak for å lette informasjonsflyten innad i EU-området. En slik utstrakt informasjonsflyt nødvendiggjør felles krav til hvordan opplysningene behandles.

Instrumentet er hjemlet i EU-traktaten, særlig artikkel 30 om felles handling vedrørende politisamarbeid og artikkel 31 om felles handling vedførende rettslig samarbeid i straffesaker og artikkel 34 nummer 2 litra b, hvor det fremgår at Rådet, for å bidra til oppfyllelse av EUs målsetninger, på initiativ fra en medlemsstat eller Kommisjonen, kan vedta rammebeslutninger om tilnærming av medlemsstatenes lover og forskrifter.

Norge er tilknyttet Schengen-samarbeidet gjennom avtale av 18. mai 1999 om Norge og Islands tilknytning til gjennomføringen, anvendelsen og videreutviklingen av Schengen-regelverket. Norske eksperter har i samsvar med avtalen deltatt i utformingen av regelverket i rådsarbeidsgruppen. Norge skal på selvstendig grunnlag avgjøre om innholdet i rettsakten skal godtas fra norsk side og innarbeides i norsk rett. I henhold til Schengen-avtalens artikkel 8 nr. 2 bokstav a skal EUs råd underrette Norge om vedtak om nye rettsakter som innebærer en videreutvikling av Schengen-regelverket. Norge skal på selvstendig grunnlag avgjøre om innholdet i rettsakten skal godtas fra norsk side og innarbeides i norsk rett.

Gjennomføring av rammebeslutningen vil kreve endringer i norsk lovgivning. I samsvar med Grunnloven § 26 annet ledd og avtalen om tilknytning til Schengen-regelverket artikkel 8 nr. 2 bokstav c, må det derfor ved underretning til EU om norsk godtakelse av vedtak om videreutvikling av Schengen-regelverket, tas forbehold om Stortingets samtykke. Slik underretning ble besluttet ved kgl. res. av 5. juni 2009.

Det fremmes en egen Stortingsproposisjon med forslag om samtykke til godtakelse av rammebeslutningen.

Departementet gir i det følgende en oversikt over de sentrale bestemmelsene i rammebeslutningen. En nærmere beskrivelse av innholdet i de enkelte bestemmelsene vil bli gitt senere i proposisjonen i tilknytning til de enkelte forslagene.

Artikkel 1 angir instrumentets anvendelsesområde. Rammebeslutningen kommer til anvendelse på opplysninger som utveksles mellom medlemsstatene eller mellom en medlemsstat og myndigheter opprettet ved rettsakter vedtatt av Rådet i medhold av EU-traktaten avsnitt VI, med det formål å forebygge, etterforske, oppdage og iretteføre straffbare handlinger. Det samme gjelder når opplysninger viderebehandles i mottakerstaten. Instrumentet gjelder automatisk behandling av personopplysninger og øvrig behandling av opplysninger i registre. Nasjonale sikkerhetsmyndigheters behandling av personopplysninger omfattes ikke av anvendelsesområdet.

Selv om rammebeslutningen i utgangspunktet ikke kommer til anvendelse på intern nasjonal behandling av opplysninger, oppfordres medlemsstatene politisk i fortalen til også å benytte reglene nasjonalt. Enkelte av rammebeslutningens grunnleggende regler skal imidlertid gjelde også for nasjonal behandling, eksempelvis regelen om at behandlingen må være lovlig, proporsjonal og formålsbestemt, jf. artikkel 3. Formålet med å gi disse reglene nasjonal anvendelse, er å sikre at informasjon som senere kan bli utlevert til en annen medlemsstat eller en myndighet opprettet ved en rettsakt vedtatt av Rådet i medhold av EU-traktaten avsnitt VI, har blitt behandlet i tråd med grunnleggende personvernprinsipper.

Artikkel 3 inneholder sentrale prinsipper for innsamling og sekundærbruk av opplysninger. Sentralt står prinsippene om at opplysninger bare må behandles for nærmere angitte, spesifikke og legitime formål, og at behandlingen må være adekvat, relevant og proporsjonal. Bestemmelsen fastsetter videre skranker for sekundærbruk av opplysninger. Artikkel 3 må ses i sammenheng med artikkel 6, som inneholder strenge regler om behandling av særlig sensitive opplysninger.

Artikkel 4 inneholder regler om retting, sletting og sperring. Det følger av nummer 1 at uriktige opplysninger skal rettes, suppleres eller oppdateres. Etter nummer 2 skal personopplysninger slettes eller anonymiseres når de ikke lenger er nødvendige for det formålet de ble innhentet eller videre anvendt. Det fremgår uttrykkelig at bestemmelsen ikke er til hinder for at et sett av opplysningene arkiveres i samsvar med nasjonal lovgivning. For det tilfelle at sletting kan ramme den registrertes legitime interesser, foreskriver nummer 3 at opplysningene heller skal sperres. Sperrede data skal behandles til det formål som forhindret sletting. Nummer 4 inneholder en særregel for så vidt gjelder personopplysninger i en rettsavgjørelse eller en mappe knyttet til en rettsavgjørelse. Bestemmelsen foreskriver at retting, sletting og sperring her skal skje i tråd med nasjonale rettergangsregler.

Av artikkel 5 fremgår det at medlemslandene skal fastsette egnede tidsfrister for sletting av personopplysninger eller for periodisk gjennomgang av behovet for lagring. Videre skal det fastsettes prosessuelle regler for å sikre overholdelse av fristene.

Artikkel 6 fastsetter at særlige opplysningskategorier, som opplysninger om etnisk opprinnelse, politisk ståsted, religiøs eller politisk overbevisning, bare skal kunne behandles når det er strengt nødvendig og nasjonal rett tilbyr adekvate sikkerhetsgarantier.

Artikkel 8 foreskriver at medlemslandene skal ta rimelige skritt for å sikre at upresise, ufullstendige eller utdaterte personopplysninger ikke overleveres eller gjøres tilgjengelige for andre stater. For dette formål skal de kompetente myndigheter så langt som mulig på forhånd kvalitetssikre opplysningene og inkludere opplysninger som muliggjør en vurdering av opplysningenes kvalitet i mottakerstaten. For det tilfelle at personopplysninger overleveres uoppfordret, skal mottakerstaten uten opphold vurdere om opplysningene er nødvendige ut fra formålet med overleveringen.

Artikkel 11 inneholder særlige regler om sekundærbehandling av opplysninger mottatt fra en annen medlemsstat. Foruten å oppfylle vilkårene for sekundærbruk i artikkel 3, må behandlingen tjene særlige formål, blant annet forebygging, etterforskning og avdekking av straffbare handlinger eller avverging av en umiddelbar og alvorlig fare for offentlig sikkerhet. I tillegg åpnes det for at opplysningene kan brukes til andre formål dersom avsendende stat eller den registrerte selv samtykker.

Artikkel 16 pålegger medlemslandene å sikre at den registrerte informeres i samsvar med nasjonal rett informeres om at det behandles opplysninger om ham. Når opplysningene overføres mellom medlemsstater, kan en stat anmode den andre om ikke å informere den registrerte.

Artikkel 17 regulerer retten til innsyn. Av nummer 1 fremgår det at rettssubjektet har krav på enten, etter forespørsel, å motta bekreftelse fra den behandlingsansvarlige om hvorvidt opplysninger om vedkommende har blitt utlevert eller gjort tilgjengelige og informasjon om mottaker og hvilke opplysninger som blir behandlet («direkte innsyn») eller bekreftelse fra nasjonal tilsynsmyndighet om at de nødvendige kontroller har funnet sted («indirekte innsyn»). Nummer 2 åpner for mulighet til å gjøre unntak fra retten til direkte innsyn, når dette er et nødvendig og proporsjonalt tiltak for å ivareta visse hensyn, herunder hensynet til etterforskningen, nasjonal sikkerhet og rettighetene til tredjemann.

Artikkel 19 regulerer den registrertes rett til erstatning ved ulovlig behandling av personopplysninger eller brudd på nasjonale bestemmelser som gjennomfører rammebeslutningen.

Artikkel 20 pålegger medlemslandene å sikre tilgang til rettsmidler ved brudd på rettighetene som gjennomfører rammebeslutningen.

Artikkel 21 inneholder regler om taushetsplikt. Bestemmelsens nummer 1 foreskriver at bare kompetent myndighet kan behandle opplysninger som faller inn under rammebeslutningens anvendelsesområde, med mindre andre myndigheter er rettslig forpliktet til det. Med kompetent myndighet siktes det til myndighet opprettet ved en rettsakt vedtatt av Rådet i medhold av EU-traktaten avsnitt VI og politi, toll, judisiell eller annen kompetent myndighet i medlemsstatene som er autorisert etter nasjonal rett til å behandle personopplysninger innenfor rammebeslutningens anvendelsesområde, jf. definisjonen i artikkel 2 bokstav i. Av nummer 2 følger det at personer som jobber for kompetent myndighet skal være bundet av de personvernregler som gjelder for den relevante kompetente myndighet. Dette gjelder ikke bare ansatte, men også personer som tar oppdrag eller utfører tjenester for vedkommende myndighet.

Artikkel 25 fastsetter at en uavhengig nasjonal myndighet skal føre tilsyn med anvendelsen av nasjonale bestemmelser som gjennomfører rammebeslutningen. Bestemmelsen lister opp hvilke funksjoner et slikt organ skal eller kan ha.

Den norske oversettelsen av rammebeslutningen i tredje søyle følger som vedlegg i proposisjonen og henvisningene til de ulike artiklene senere i proposisjonen er hentet derfra.