6 Regulering av testing og utvikling i politiregisterloven
6.1 Gjeldende rett
Politiregisterloven og politiregisterforskriften regulerer politiets behandling av opplysninger til politimessige formål, samt PSTs forvaltningsvirksomhet og etterretningsvirksomhet, jf. politiregisterloven § 3. Politiregisterforskriften § 1-3 både presiserer og utvider lovens virkeområde i nærmere angitte tilfeller.
Etter politiregisterloven § 3 gjelder politiregisterloven for «politiets og påtalemyndighetens behandling av opplysninger», med unntak av behandling av opplysninger etter nr. 1 (behandling som reguleres av SIS-loven) og nr. 2 (behandling av opplysninger som er en del av politiets forvaltningsvirksomhet eller sivile gjøremål). Testing og utvikling av informasjonssystemer er ikke eksplisitt nevnt, og omfattes ikke av noen av unntakene.
Behandling av opplysninger er definert i politiregisterloven § 2 nr. 2 som «enhver elektronisk eller manuell bruk av opplysninger, som for eksempel innsamling, registrering, systematisering, strukturering, oppbevaring, tilpasning, endring, gjenfinning, søking, videreformidling ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, sperring, sletting eller tilintetgjøring eller en kombinasjon av slike bruksmåter». Definisjonen er vid, og omfatter også behandling som skjer ved bruk av ulike informasjonssystemer.
Regelverket er utformet teknologinøytralt i den forstand at det regulerer alle former for behandling av opplysninger til formål som er omfattet av loven, uavhengig av måten det gjøres på. Det legger ikke føringer for hva slags teknologi som skal benyttes i oppgaveløsningen. I utgangspunktet er det derfor ikke behov for egne hjemler i politiregisterloven for bruk av ulike former for informasjonssystemer, herunder systemer som benytter kunstig intelligens. I politiregisterloven § 65 a er det likevel eksplisitt inntatt at behandling kan skje ved hjelp av automatiserte analyseverktøy, noe som blant annet kan omfatte ulike former for maskinlæring. Bestemmelsen er nærmere omtalt i punkt 8.1.
Regelverket er imidlertid ikke utformet med tanke på testing og utvikling av informasjonssystemer. I den grad bruk av identifiserbare opplysninger til utviklings- og testformål i dag ikke omfattes av politiregisterloven, vil personopplysningsloven og personvernforordningen komme til anvendelse.
Personopplysningsloven gjelder som nevnt i punkt 3.2 for all behandling av personopplysninger, med mindre annet er bestemt i eller i medhold av lov. Politiregisterloven er et eksempel på en slik lov, jf. Prop. 56 LS (2017–2018) punkt 4.5.2 der det uttales:
Nasjonale regler som gjennomfører direktiv (EU) 2016/680, vil være et eksempel på slike regler, og reglene vil dermed gå foran bestemmelsene i personopplysningsloven og forordningen. Hvorvidt reglene i personopplysningsloven og forordningen kommer til supplerende anvendelse i disse tilfellene, eller om de er fraveket i sin helhet, må avgjøres på bakgrunn av en tolkning av de aktuelle reglene.
Hvorvidt behandling av opplysninger til testing og utvikling av informasjonssystemer som skal brukes til politimessige formål reguleres i sin helhet av politiregisterloven, eller om personopplysningsloven og personvernforordningen helt eller delvis kommer til supplerende anvendelse, må dermed i utgangspunktet bero på en konkret tolkning.
I Ot.prp. nr. 108 (2008–2009) Om lov om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven) punkt 8.4.1 er det imidlertid uttalt at departementet tok sikte på å gi en komplett og utfyllende lov for politiets behandling av opplysninger, slik at det ikke ville bli behov for å supplere med den tidligere personopplysningslovens bestemmelser.
6.2 Nærmere om behovet
Politiet bruker i dag fiktive opplysninger til testing, utvikling og forvaltning av informasjonssystemer som brukes innenfor politiregisterlovens virkeområde i den grad det er mulig. Imidlertid vil det i en del tilfeller være nødvendig at politiets systemer testes og utvikles med reelle opplysninger, blant annet dersom fiktive eller anonymiserte opplysninger ikke simulerer virkeligheten godt nok til at man kan være sikker på at systemet fungerer som tiltenkt. Det kan videre være ressurskrevende, noen ganger tilnærmet umulig, å lage et realistisk syntetisk datasett som tar høyde for alle variasjoner i virkelige forhold. Datasettene kan i tillegg bli svært omfangsrike. Dette gjelder særlig ved utvikling av informasjonssystemer som bruker komplekse analyser eller statistiske modeller, eller der utviklingen av informasjonssystemet krever store mengder opplysninger, for eksempel systemer som benytter maskinlæring.
De opplysningene politiet behandler skiller seg dessuten fra opplysninger andre organer har behov for i sin test- og utviklingsvirksomhet, slik at det som regel ikke vil være mulig å benytte syntetiske testdata utviklet av andre. Politiet må med andre ord selv sørge for utvikling av testdata. For å kvalitetssikre systemene og unngå informasjonssikkerhetsbrudd, herunder brudd på personopplysningssikkerheten, kan det være helt nødvendig å teste systemene med reelle opplysninger.
Behovet for å bruke opplysninger til testing og utvikling av informasjonssystemer gjør seg gjeldende i mange ulike situasjoner og for mange ulike typer systemer, fra utvikling av helt nye systemer fra bunnen av og til testing og tilpasning av verktøy og systemer som er utviklet av andre. Det er ikke mulig å gi en uttømmende beskrivelse av hva slags systemer det er behov for å utvikle og teste på nåværende tidspunkt og i fremtiden. Her nevnes likevel noen konkrete eksempler for å illustrere bredden i situasjoner der det kan være nødvendig å bruke reelle opplysninger:
Politiet har eksempelvis behov for å kunne bryte ned og hente ut typer av opplysninger (som navn, adresser, IP-adresser, kjennemerker, osv.) i større mengder tekstlig materiale, for eksempel politirapporter. Det er svært tidkrevende og til dels umulig å produsere tilsvarende syntetisk materiale som representerer virkeligheten. Dersom modeller testes, tilpasses eller trenes på feil datagrunnlag vil dette kunne påvirke resultatene i stor grad.
Det finnes et stort utvalg av ferdige KI-modeller til ulike formål som det også kan være aktuelt for politiet å benytte. Disse modellene er imidlertid generelt utviklet, og må testes med opplysninger politiet sitter på for å kunne kvalitetssikres før de tas i bruk.
Det kan også være behov for testing av nye versjoner av programvare, for eksempel i systemer for passasjerinformasjon (PNR), jf. politiregisterforskriften kapittel 60. PNR-data er til dels ustrukturerte data, og det er stor grad av variasjon i innholdet i meldingene PNR-enheten mottar fra flyselskaper. Enheten mottar store mengder data hver dag, og databasen inneholder mange millioner PNR-meldinger som systemet til enhver tid må prosessere. Dette gjør det igjen vanskelig å lage syntetiske data som speiler data i produksjon, samtidig som det er risiko for avvik og feil dersom programvaren ikke testes med reelle opplysninger.
Det kan i tillegg være nødvendig å bruke opplysninger og materiale innhentet ved skjulte tvangsmidler i reelle saker til å teste og utvikle tekniske løsninger som kan bidra til bedre oversikt, ressursbesparelser og at mer informasjon kan utledes av det innhentede materialet. For eksempel kan det være behov for tilpassede verktøy som kan transkribere, oversette og lage sammendrag av store mengder materiale fra kommunikasjonskontroll. Et ferdig utviklet oversettelses- eller transkriberingsprogram vil ikke nødvendigvis kunne ta høyde for eksempelvis slang og intern begrepsbruk i et kriminelt miljø. Ferdigutviklede verktøy for å lage sammendrag eller sammenstille informasjon vil heller ikke nødvendigvis være tilpasset den informasjonen politiet er ute etter i materialet, slik at det kan være nødvendig å teste og gjøre justeringer for å ivareta politiets særlige behov.
6.3 Forslaget i høringsnotatet
Departementet mente i høringsnotatet at det var et klart behov for at politiet kan teste og videreutvikle eksisterende tekniske løsninger og utvikle og teste nye informasjonssystemer som kan bidra til en effektiv og tidsriktig oppgaveløsning. I den forbindelse ble det lagt til grunn at det kan være behov for å benytte reelle opplysninger i større eller mindre omfang. Det ble vist til at det i dag er noe usikkert i hvilken grad politiet kan benytte reelle opplysninger til testing og utvikling, og hvilket personvernregelverk som i tilfelle gjelder.
I høringsnotatet uttalte departementet at det kan argumenteres for at bruk av opplysninger i forbindelse med utvikling og testing av informasjonssystemer der opplysninger skal behandles til formål som omfattes av loven, allerede er omfattet av politiregisterloven og LED. Begrunnelsen var at behandlingen skal resultere i systemer som skal brukes til formål som er omfattet av politiregisterloven.
Departementet viste til at LED ikke åpner for at direktivet kan komme til anvendelse dersom opplysninger behandles til andre formål enn de som er omfattet av direktivets virkeområde. Dersom testing og utvikling av systemer til bruk i kriminalitetsbekjempelsen anses som et annet formål enn kriminalitetsbekjempelse, vil GDPR gjelde for denne behandlingen. Departementet mente at bruk av opplysninger til testing og utvikling av informasjonssystemer som skal brukes til kriminalitetsbekjempende formål, har så nær sammenheng med det opprinnelige formålet at de samme personvernreglene bør gjelde også for denne behandlingen. Selv om EU-domstolen i flere saker har uttalt at unntakene i personvernforordningen artikkel 2 nr. 2 skal tolkes strengt, se blant annet C-180/21, 8. desember 2022, avsnitt 73, har uttalelsene kommet i saker som dreier seg om bruk til formål som klarere skiller seg fra kriminalitetsbekjempelse enn testing og utvikling av informasjonssystemer med kriminalitetsbekjempelsesformål. Domstolen har hittil ikke tatt stilling til hvorvidt testing og utvikling av systemer som skal brukes i kriminalitetsbekjempelsen kan falle innenfor LEDs virkeområde.
Departementet mente derfor at testing og utvikling av systemer som skal brukes til politimessige formål, måtte kunne innfortolkes i formålene som er nevnt i LED artikkel 1 nr. 1 og politimessige formål, og at LED dermed gjelder for denne behandlingen. Det ble vist til at dette til dels støttes av KI-forordningens regler om utvikling av høyrisiko KI-systemer der systemet trenes ved bruk av trenings-, validerings- og testdatasett. KI-forordningen artikkel 10 nr. 5 angir at ut over bestemmelsene i GDPR og LED, må en rekke andre vilkår være oppfylt for at treningsdata skal kunne inneholde særlige kategorier av personopplysninger. Dersom slik utvikling skulle reguleres utelukkende av GDPR, ville det ikke vært nødvendig å vise til LED i denne artikkelen.
Selv om testing og utvikling ikke anses som et eget eller annet formål enn politimessige formål, mente departementet at det likevel var behov for å gi en klar hjemmel for bruk av reelle opplysninger til testing og utvikling og regulere denne formen for behandling nærmere. Departementet foreslo derfor endringer i politiregisterlovens virkeområde i § 3, slik at loven også gjelder når opplysninger behandles for testing og utvikling av informasjonssystemer som skal brukes til formål innenfor lovens virkeområde.
I høringsnotatet ble det også foreslått en hjemmel til å gi nærmere regler i forskrift om behandling av opplysninger i forbindelse med testing og utvikling av informasjonssystemer. Høringsnotatet inneholdt også forslag til slike forskriftsbestemmelser, herunder at det måtte være umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger, krav om den behandlingsansvarliges godkjenning og utvidelse av plikten til forhåndsdrøftelser med Datatilsynet.
I høringsnotatet ble det understreket at forslaget ikke åpnet for at politiet kan innhente opplysninger de ikke ellers ville hatt hjemmel til å behandle for å bruke dem til testing og utvikling. Det ble også vist til at forslaget ikke medførte at opplysningene skulle kunne utleveres til andre.
Forslaget var begrenset til bruk av opplysninger til testing og utvikling. Det åpnet ikke for at politiet kan ta i bruk informasjonssystemer som er av en slik inngripende art at de krever særskilt hjemmel.
6.4 Høringsinstansenes syn
6.4.1 Generelle og overordnede synspunkter
Politidirektoratet, Kripos, Politiets utlendingsenhet, Øst politidistrikt, Politiets IT-enhet, Politihøgskolen og Politiets sikkerhetstjeneste støtter endringsforslagene. Ingen høringsinstanser er negative til å regulere testing og utvikling av informasjonssystemer som skal brukes til politimessige formål.
Politidirektoratet og Kripos viser til at forslaget vil klargjøre rettstilstanden på et område som stadig blir viktigere både for politiets digitalisering og for digitalt politiarbeid. Bruk av reelle opplysninger til testing og utvikling vil bidra til å sikre tilstrekkelig kvalitet og sikkerhet i informasjonssystemer som er av stor betydning for politiets kriminalitetsbekjempende virksomhet.
Politidirektoratet legger, i likhet med Politiets utlendingsenhet, til grunn at bestemmelsen er ment å omfatte registre hvor opplysninger behandles dels til politimessige formål og dels til forvaltningsformål, jf. politiregisterforskriften § 1-3 første ledd nr. 3. Politiregisterforskriften kapittel 56 om politiets utlendingsregister er gitt i medhold av denne bestemmelsen. Disse instansene ser samtidig behov for klargjøring av hvorvidt lovforslaget også omfatter systemer som brukes både til forvaltningsformål og politimessige formål, men hvor systemet ikke er regulert i politiregisterforskriften del 11.
Øst politidistrikt mener at forslagene er hensiktsmessige og fornuftige. Distriktet er enig i at det bør gis klare hjemler for behandling av opplysninger til slike formål, både for å sikre politiets behov for teknologisk utvikling og for å gi klare rammer i forhold til de registrertes rettigheter.
Politiets IT-enhet ønsker forslagene velkomne. Politiet utvikler og tester en rekke løsninger som samvirker med systemer fra samarbeidende etater. Det er da viktig at hjemlene for testing og utvikling som gjelder for de ulike aktørene er kompatible. Politiets IT-enhet oppfatter at de foreslåtte hjemlene følger samme mønster som tilsvarende hjemler gitt andre etater, og støtter dette.
Politiets utlendingsenhet støtter departementets forslag, og mener det er viktig at politiets adgang til å benytte reelle data til testing og utvikling lovreguleres eksplisitt. En lovregulering vil også styrke de registrertes rettigheter. Enheten mener det også bør gis tilsvarende regler om testing og utvikling i utlendingsloven, og viser til at det foregår en omfattende utvikling av nye datasystemer for utlendingsforvaltningen.
Politihøgskolen mener det er viktig at lovgiver tilrettelegger for at politidata kan brukes til testing og utvikling.
Utlendingsdirektoratet er positivt til at adgangen til å bruke reelle data til testing og utvikling reguleres også på politiregisterlovens område. Direktoratet forstår forslaget som at det også kan omfatte testing og utvikling av utlendingsregisteret, som er en logisk atskilt del av politiets ABIS-register, ettersom politiet blant annet har søketilgang til utlendingsregisteret i straffesaker over en definert strafferamme.
Datatilsynet støtter også forslaget om lovregulering, men mener det er viktig å vurdere forslagene opp mot mulighetene som åpnes for utvikling av kunstig intelligens og maskinlæring, som medfører en risiko for potensielt store inngrep i den enkeltes personvern og som kan ha store konsekvenser for samfunnet. Datatilsynet påpeker at de foreslåtte endringene utfordrer de generelle personvernprinsippene ved at opplysningene ikke er frivillig avgitt og ved at de registrerte ikke nødvendigvis vil få informasjon om innhenting og bruk av opplysningene. Tilsynet mener det er problematisk at det åpnes for å utvikle verktøy uten at det nødvendigvis finnes lovhjemmel for å bruke verktøyene. Det er i tillegg utfordrende at politiregisterloven, slik den er utformet i dag, er lite egnet til å regulere bruk av kunstig intelligens i politiet og påtalemyndigheten.
EOS-utvalget fremhever viktigheten av at det legges til rette for intern og ekstern kontroll av utviklingen av kunstig intelligens, herunder hvordan modellene settes opp. Med henvisning til at KI-forordningen ikke regulerer bruk av kunstig intelligens som utelukkende benyttes i forbindelse med nasjonal sikkerhet, mener utvalget at departementet bør klargjøre hvilke krav som skal gjelde for utviklingen av kunstig intelligens når behandlinger faller utenfor KI-forordningens virkeområde, og generelt hvordan det skal legges til rette for kontroll.
Advokatforeningen mener overordnet at begrunnelsen for forslagene virker å være fornuftig, og registrerer at departementet vurderer at de personvernmessige konsekvensene av forslaget står i et rimelig forhold til de formålene bestemmelsen skal oppnå.
6.4.2 Hvilket personvernregelverk som gjelder for behandlingen
Høringsinstansene er delte i synet på om LED eller GDPR regulerer behandlingen som er beskrevet i høringsnotatet. Politidirektoratet og Politihøgskolen er enige i at testing og utvikling kan innfortolkes i formålene i LED artikkel 1 nr. 1 og politimessige formål. Datatilsynet og Digitaliseringsdirektoratet mener derimot at testing og utvikling vanskelig kan innfortolkes i LEDs virkeområde.
Politidirektoratet mener det er viktig at grensedragningen mellom LED og GDPR er tydelig vurdert og beskrevet i det videre lovarbeidet.
Datatilsynet viser til at unntaket fra personvernforordningens virkeområde i artikkel 2 nr. 2 bokstav d, etter sin ordlyd er rettet mot mer tradisjonelle og utpregede politioppgaver. I og med at unntakene skal tolkes strengt, er det vanskelig å innfortolke utvikling av verktøy basert på kunstig intelligens i disse unntakene. Heller ikke politiregisterlovens definisjon av «politimessige formål», jf. § 2 nr. 13, omfatter teknologiutvikling som sådan. Etter Datatilsynets syn vil derfor bruk av personopplysninger til utvikling av kunstig intelligens i politisektoren i alminnelighet kunne reguleres av personvernforordningen. Dette synspunktet kan imidlertid nyanseres noe, blant annet med henvisning til LEDs fortalepunkt 27 og en artikkel i European Journal of Law and Technology, Vol. 15 No. 3 (2024), som argumenterer for at forskning og utvikling i noen tilfeller kan falle inn under begrepet «forebygging». Datatilsynet støtter departementet i at det må vurderes konkret hvilket regelverk som får anvendelse for hver behandling. Tilsynet ser at dette kan by på vanskelige grensedragninger, men mener det vil være et sentralt moment å vurdere formålet med behandlingen av de aktuelle opplysningene og om det er nødvendig gjøre behandlingen under virkeområdet til politiregisterloven.
Datatilsynet viser til at GDPR gir et sterkere vern for den registrertes rettigheter enn politiregisterloven. Det sentrale for tilsynet er at de registrertes rettigheter ivaretas, og at det ikke gjøres større unntak fra retten til informasjon og innsyn enn nødvendig. Datatilsynet mener derfor at det bør vurderes konkret i hvert enkelt prosjekt eller behandling om det er nødvendig å unnta behandlingen fra de registrertes rettigheter, og i hvilken grad åpenhet skal praktiseres. Selv om det i mange tilfeller er andre hensyn som må vektlegges, for eksempel ved bruk av opplysninger fra skjulte metoder, bør det som et utgangspunkt tilstrebes størst mulig åpenhet om utvikling og bruk av KI i politiet. Datatilsynet ber derfor spesielt om at det tas stilling til hvilket regelverk som regulerer testing og utvikling i det videre lovarbeidet.
Digitaliseringsdirektoratet oppfordrer departementet til å foreta en mer inngående vurdering av hvorvidt GDPR eller LED er riktig rettslig utgangspunkt, og viser blant annet til at Datatilsynet i sin sandkasserapport om «Prevbot» har kommet til motsatt konklusjon enn departementet om hvilket personvernregelverk som gjelder for testing og utvikling på området. Viderebehandling for å trene og teste maskinvare vil etter Digitaliseringsdirektoratets syn klart utgjøre en behandling som har et annet formål enn det opplysningene opprinnelig ble innhentet for. Direktoratet oppfordrer til en nærmere vurdering av om særlig viderebehandlingen fortsatt er innenfor det saklige virkeområdet til LED, og om behandlingen er nødvendig og forholdsmessig for å oppnå formålet.
Direktoratet viser til at ikke enhver behandling som har en mer indirekte kriminalitetsforebyggende intensjon vil falle innenfor LEDs saklige virkeområde. Formålene i LED artikkel 1 nr. 1 er uttømmende og tar først og fremst sikte på å regulere operativ virksomhet. I utgangspunktet er derfor ikke formålet å legge til rette for utvikling av nye tekniske løsninger. Digitaliseringsdirektoratet viser videre til at begrensningene i GDPRs virkeområde skal tolkes strengt. Direktoratet fremhever også at rettssystematiske hensyn taler mot å innfortolke maskinlæring mv. i LEDs saklige virkeområde. Etter deres skjønn vil en slik fortolkning i realiteten medføre en utvidelse av LEDs virkeområde, og dermed muligens gå på bekostning av virkeområdet til GDPR.
6.4.3 Utlevering
Flere høringsinstanser har kommentert uttalelsen i høringsnotatet om at forslaget ikke medfører at opplysningene skal kunne utleveres til andre.
Politidirektoratet ber om at departementet i det videre lovarbeidet angir nærmere hva som ligger i denne forutsetningen. Herunder bør det angis om dette skal forstås som en begrensning i bruk av reelle personopplysninger til verdikjedetesting, for eksempel eventuell testing av system-til-system-kommunikasjon med andre aktører, bruk av eksterne databehandlere og testing og utvikling av skybaserte tjenester.
Politihøgskolen mener det også innenfor rammen av anvendt forskning er behov for at politidata kan brukes til testing og utvikling av informasjonssystemer til politimessige formål. Det innebærer et behov for å kunne dele dataene med forskningsinstitusjonen i prosjektet, som besitter den tekniske kompetansen. Politihøgskolen anser at når det først legges til grunn at testing og utvikling av informasjonssystemer utført av politiet selv, direkte omfattes av politimessige formål, må utlevering av data til en forskningsinstitusjon for tilsvarende formål anses som viderebehandling for et formål som er forenlig med det opprinnelige, jf. LED artikkel 4 nr. 2. I tillegg følger det av artikkel 4 nr. 3 at viderebehandling kan skje for «scientific use» for direktivets formål.
Politihøgskolen foreslår at det tas inn et nytt ledd i politiregisterloven § 33 om at taushetsplikten kan oppheves for anvendt forskning som har til formål å teste og utvikle informasjonssystemer som skal understøtte politimessige formål. Alternativt kan det tas inn en ny setning i § 32 om at taushetsplikten ikke er til hinder for at opplysninger brukes for dette formålet. Gjennom henvisning til andre relevante bestemmelser bør det etableres tilsvarende sikkerhetsgarantier som de som gjelder for testing og utvikling som utføres av politiet selv.
Advokatforeningen peker på at utlevering av opplysninger vil være en mulighet dersom testingen og godkjenningen gjelder skybaserte tjenester hvor opplysningene må behandles i en tredjeparts dataløsninger, eller dersom testingen eller utviklingen gjøres ved hjelp av IT-leverandører eller konsulenter.
6.5 Departementets vurderinger
6.5.1 Generelt
Høringen bekrefter departementets vurdering av at det er behov for en nærmere regulering av bruk av opplysninger til testing og utvikling av informasjonssystemer som skal brukes innenfor politiregisterlovens virkeområde. Forslaget i proposisjonen her vil gjøre at politiet i større grad vil kunne ta i bruk de mulighetene den teknologiske utviklingen gir, og det vil samtidig sikre at informasjonssystemer som benyttes i kriminalitetsbekjempelsen er tilpasset politiets særlige behov.
En del høringsinstanser har hatt kommentarer til forslaget til forskriftsbestemmelse som nærmere regulerer rammene for bruk av opplysninger til testing og utvikling av informasjonssystemer som skal brukes innenfor politiregisterlovens virkeområde. Enkelte innspill berører også tekniske forhold som ikke direkte har tilknytning til de foreslåtte lovforslagene. Disse innspillene vil kun bli gjengitt og kommentert i den grad de har betydning for forslaget om å utvide politiregisterlovens virkeområde til også å omfatte testing og utvikling av informasjonssystemer. Departementet vil vurdere innspillene knyttet til forskriftsbestemmelsen i forbindelse med ferdigstillelsen av denne.
Departementet understreker at forslaget her utelukkende gjelder behandling av opplysninger som reguleres av politiregisterloven. Det vil dermed også omfatte opplysninger som behandles delvis til politimessige formål og delvis til forvaltningsmessige formål i et sentralt register, jf. politiregisterforskriften § 1-3 og politiregisterloven § 14. Det vil i utgangspunktet ikke omfatte testing og utvikling av systemer som har som hovedformål å behandle opplysninger som ledd i politiets forvaltningsvirksomhet, selv om det forekommer enkeltstående behandlinger i slike systemer som har et politimessig formål. Dersom det likevel er mulig å skille utviklingen av den «politimessige» delen av systemet klart fra øvrig utvikling, vil politiregisterloven kunne gjelde for utvikling og testing av denne delen. Dette vil måtte vurderes konkret for det enkelte system.
EOS-utvalget har stilt spørsmål ved hvilke regler som vil gjelde for PSTs utvikling av KI-systemer der behandlingen faller utenfor KI-forordningens virkeområde. PSTs testing og utvikling vil reguleres av de alminnelige reglene i politiregisterlovgivningen, noe som også vil omfatte de nærmere forskriftsbestemmelsene om slik behandling. Dette gjelder uavhengig av om informasjonssystemet utgjør et KI-system eller ikke. PST må på vanlig måte og i dialog med EOS-utvalget legge til rette for at utvalget kan ivareta sine kontrolloppgaver.
Departementet ser det ikke som problematisk at bruk av informasjonssystemer som kan ha inngripende konsekvenser kan kreve særskilt hjemmel, mens hjemmelen for testing og utvikling foreslås å skulle være generell. Dette er også tilfelle for hjemler for testing og utvikling i annet regelverk. Konsekvensene av bruken av et system vil være atskillig mer inngripende enn det utvikling og testing av systemet vil være. Kravene til et klart og tydelig regelverk gjør seg dermed i større grad gjeldende for bruk. Også KI-forordningen skiller mellom testing og utvikling og bruk av systemer. Forordningen gjelder ikke for forsknings-, test- eller utviklingsaktiviteter med hensyn til KI-systemer eller KI-modeller før de bringes i omsetning eller tas i bruk, jf. forordningen artikkel 2 nr. 8. For bruk av visse inngripende systemer krever forordningen at bruken må reguleres i nasjonal rett, men den er ikke til hinder for at systemene utvikles.
Ingen høringsinstanser har kommentert forslaget til forskriftshjemmel for å kunne gi nærmere bestemmelser om testing og utvikling i forskrift. Forslaget til endringer i politiregisterloven § 69 er likelydende som det som ble foreslått i høringsnotatet.
Utlendingsregisteret reguleres av utlendingsloven og personvernforordningen, uavhengig av om politiet har tilgang til det og at Kripos er databehandler. Bruk av reelle personopplysninger fra utlendingsregisteret for å teste og videreutvikle dette registeret faller derfor utenfor forslaget her.
6.5.2 Hvilket personvernregelverk som regulerer behandlingen
Lovendringen som foreslås tar utgangspunkt i at det er politiregisterloven, som gjennomfører LED, som skal regulere behandling av opplysninger til testing og utvikling av informasjonssystemer som skal brukes innenfor lovens virkeområde. Flere høringsinstanser har hatt synspunkter på departementets vurdering av hvilket personvernregelverk som regulerer denne behandlingen, og har oppfordret til at spørsmålet vurderes og omtales nærmere i proposisjonen.
Som omtalt i punkt 6.1 er politiregisterlovens anvendelsesområde i lovens § 3 utformet slik at den gjelder for all behandling av opplysninger i politiet og påtalemyndigheten, med visse spesifikke unntak. Disse unntakene omfatter ikke testing og utvikling av informasjonssystemer som skal brukes til formål som omfattes av loven. Etter bestemmelsens ordlyd reguleres dermed slik behandling av politiregisterloven. Som nevnt tok departementet med forslaget til politiregisterloven sikte på å gi en komplett lov om politiets behandling av opplysninger, og personopplysningsloven var ikke ment å skulle komme supplerende til anvendelse.
Det følger imidlertid av EØS-loven § 2 at bestemmelser i lov som tjener til å oppfylle Norges forpliktelser etter EØS-avtalen, i tilfelle konflikt skal gå foran andre bestemmelser som regulerer samme forhold. Dette gjør det også nødvendig å vurdere om det er GDPR eller LED som utgjør det folkerettslige rammeverket for den aktuelle behandlingen, da det kun er GDPR som er del av EØS-avtalen.
Hvilket personvernregelverk som kommer til anvendelse ved testing og utvikling av informasjonssystemer til bruk for politimessige formål er ikke klart regulert verken i LED eller GDPR. EU-domstolen har i sin praksis lagt til grunn at unntakene fra GDPRs virkeområde skal tolkes strengt. Videre har domstolen uttalt at ved viderebehandling til et annet av formålene som er nevnt i LED artikkel 1 nr. 1 enn det opplysningene opprinnelig ble innsamlet for, må de ulike formålene betraktes som «specific and distinct», jf. C-180/21, 8. desember 2022, avsnitt 56. Departementet er enig med Datatilsynet og Digitaliseringsdirektoratet i at formålene i artikkel 1 nr. 1 etter sin ordlyd retter seg mot de tradisjonelle politioppgavene, og ikke direkte mot teknologisk utvikling. Etter departementets syn vil dette imidlertid ikke sette en skranke mot at også testing og utvikling som har til formål å bidra til politiets kriminalitetsbekjempende virksomhet, reguleres av politiregisterloven og LED.
Slik departementet ser det, har testing og utvikling av informasjonssystemer som skal brukes til politimessige formål så nær sammenheng med den kriminalitetsbekjempende virksomheten at LED må komme til anvendelse. Behandlingen skjer med sikte på å utvikle, teste og forbedre verktøy og systemer som er nødvendige i politiets og påtalemyndighetens kriminalitetsbekjempende virksomhet. For at disse systemene skal kunne brukes er det en forutsetning at de tilpasses politiets behov og i tillegg testes for å sikre at de fungerer etter intensjonen. Utvikling og testing som bedrer eller effektiviserer politiets kriminalitetsbekjempende virksomhet, vil dermed etter departementets syn falle innenfor det samme formålet.
Departementet legger dessuten vekt på at LED artikkel 4 nr. 3 åpner for at behandlingen kan inkludere «scientific use» for formålene som nevnt i artikkel 1 nr. 1, forutsatt at behandlingen er omfattet av tilstrekkelige tiltak for å sikre de registrertes rettigheter og friheter. Vitenskapelig bruk kan også inkludere utvikling av nye metoder og systemer til bruk i kriminalitetsbekjempelsen. Dette har, slik også Datatilsynet viser til, støtte i enkelte forskningsartikler. Behandlingen vil bli nærmere regulert i forskrift. På denne måten vil det etableres egnede sikkerhetsmekanismer, slik LED artikkel 4 nr. 3 gir anvisning på.
Departementet peker også på at det vil være vanskelig praktisk gjennomførbart dersom politiet i det enkelte tilfelle skal vurdere om personopplysningsloven eller politiregisterloven kommer til anvendelse når testing og utvikling skjer for å ivareta formål innenfor politiregisterlovens virkeområde. Opplysningene som benyttes i ulike utviklingsprosjekter kan være de samme eller hentet fra samme register, men behandlingsreglene vil kunne bli ulike, avhengig av utfallet av vurderingen i det enkelte tilfelle. Konsekvensene av vekslende bruk av de to personvernregelverkene vil kunne være uoversiktlige, og vil øke risikoen for mangelfull etterlevelse.
Det vil i tillegg legge uhensiktsmessige begrensninger på hvilke opplysninger som kan brukes til testing og utvikling av systemer som skal brukes til politimessige formål dersom GDPR regulerer behandlingen. Særlig reglene om innsyn er ulike etter politiregisterloven og personopplysningsloven. Etter LED og politiregisterloven § 54 er det mulig å gi en alternativ begrunnelse dersom innsyn ikke gis, slik at vedkommende ikke får vite om han eller hun er registrert. Etter personopplysningsloven § 16 tredje ledd skal den som nekter å gi innsyn, begrunne dette skriftlig med en presis henvisning til unntakshjemmelen. Den som ber om innsyn etter personopplysningsloven vil dermed kunne få vite at han eller hun er registrert dersom opplysninger om vedkommende er tatt i bruk til testing og utvikling, selv om innsyn i opplysningene for øvrig kan nektes av hensyn til kriminalitetsbekjempelsen. Dette vil kunne fordre at politiet gjør en konkret vurdering av den enkelte opplysning og konsekvensene av at den enkelte får vite om registreringen før opplysningen eventuelt brukes til testing og utvikling. I så fall vil det både være ressurskrevende og øke risikoen for at datagrunnlaget ikke blir representativt.
Departementet kan heller ikke se at den registrertes rett til informasjon utfordres ved at LED kommer til anvendelse. Også etter GDPR er retten til informasjon begrenset dersom bruken av opplysninger til et nytt formål er lovregulert, jf. GDPR artikkel 14 nr. 5 bokstav c, jf. nr. 4. Reglene som skal fastsettes i forskrift vil inneholde egnede tiltak for å verne den registrertes rettigheter.
LED kommer ikke til anvendelse for aktiviteter som faller utenfor unionsretten, jf. artikkel 2 nr. 3 bokstav a og fortalepunkt 14. Dette omfatter blant annet tiltak for nasjonal sikkerhet. PSTs testing og utvikling av informasjonssystemer som skal brukes til etterretningsvirksomhet eller forebyggende virksomhet vil dermed reguleres utelukkende av politiregisterloven.
6.5.3 Utlevering
I høringsnotatet ble det uttalt at bruk av opplysninger til testing og utvikling ikke medfører at opplysningene skal kunne utleveres til andre, noe flere høringsinstanser har kommentert at kan være nødvendig. Det gjøres ingen endringer i politiregisterloven kapittel 6 om begrensninger i taushetsplikten, slik at forslaget her ikke gir noen utvidet adgang til å utlevere opplysninger sammenlignet med gjeldende rett.
Forslaget er imidlertid ikke til hinder for ulike former for bistand til å utføre testing og utvikling, for eksempel ved bruk av innleid personell eller databehandlere. Innleide konsulenter mv. vil kunne omfattes av politiregisterforskriften § 1-3 nr. 1 om at loven også får anvendelse for personer som gjør tjeneste ved politiet og påtalemyndigheten uten å være tilsatt. Ved bruk av et eksternt firma for å utføre testing og utvikling på politiets vegne vil firmaet som regel være databehandler for politiet, og opplysningene vil ikke kunne behandles på annen måte enn den som følger av skriftlig avtale eller instruks, jf. politiregisterloven § 18. Verken bruk av databehandlere eller personell som omfattes av politiregisterforskriften § 1-3 nr. 1 innebærer utlevering av opplysninger i politiregisterlovens forstand.
Departementet ser ikke grunn til å endre politiregisterloven § 33 om utlevering til forskning for å ta høyde for at forskningen kan ha til formål å teste eller utvikle informasjonssystemer, der både politiet og forskningsinstitusjonen har interesse i prosjektet. En eventuell utvidet adgang til å utlevere opplysninger i forbindelse med visse former for forskning har ikke vært hørt eller utredet nærmere. Politiregisterloven § 33 stiller ikke krav med hensyn til formålet med forskningen, og departementet mener at bestemmelsen er tilstrekkelig fleksibel til å ivareta de hensyn Politihøgskolen trekker frem.