8 Personvern og retten til privatliv
8.1 Gjeldende rett
Alle de tre EU-forordningene, Eurodac-forordningen 2024, AMMR og kriseforordningen, berører individers personopplysninger. Behandling av personopplysninger er strengt regulert i både EU-retten og i norsk rett.
EUs personvernforordning, General Data Protection Regulation (forordning (EU) 2016/679, GDPR), handler blant annet om beskyttelse av individer ved behandling av personopplysninger. Forordningen er inkorporert i personopplysningsloven (lov 15. juni 2018 nr. 38 om behandling av personopplysninger) § 1, og gjelder dermed som norsk lov. Så lenge annet ikke er bestemt i eller i medhold av lov, gjelder GDPR, og personopplysningsloven for øvrig, som utgangspunkt for behandling av personopplysninger som skal inngå i et register, jf. personopplysningsloven § 2.
Personopplysningsloven og GDPR gjelder ikke der annet er bestemt i eller i medhold av lov, jf. personopplysningsloven § 2 første ledd annet punktum. Nasjonale regler som gjennomfører Law Enforcement Directive (direktiv (EU) 2016/680, LED), er ett eksempel på slike regler, og reglene om dette vil dermed gå foran bestemmelsene i personopplysningsloven og GDPR. LED er gjennomført i norsk rett gjennom politiregisterloven. Ved vurderingen av hvilket personvernregelverk som kommer til anvendelse må det ses hen til formålet med behandlingen av opplysningene. Det følger av GDPR artikkel 2 nr. 2 bokstav d at GDPR ikke får anvendelse på behandling som skjer med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet. I tilfeller som dette kommer LED og politiregisterloven til anvendelse, som betyr at for behandling av personopplysninger i Eurodac for rettshåndhevelsesformål, er det LED (politiregisterloven) som gjelder.
Det fremgår av fortalepunkt 38 i GDPR at barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisste på rettighetene de har ved behandling av personopplysninger. Tolkning av GDPR må reflektere barns særlige vern slik det er forankret i barnekonvensjonen og i Grunnloven § 104.
I tillegg til personvernregelverket er det konstitusjonelle og folkerettslige skranker for hvilke regler som kan bli en del av norsk rett. Grunnloven § 102 og den europeiske menneskerettskonvensjonen (EMK), gjennomført i norsk rett ved lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven), artikkel 8 verner begge om en persons grunnleggende rett til privatliv. Den europeiske menneskerettsdomstolen (EMD) har i flere saker fastslått at offentlige myndigheters innhenting og lagring av personopplysninger utgjør et inngrep i retten til privatliv, se som eksempel S og Marper mot Storbritannia (storkammer) nr. 30562/04 og 30566/04, avsnitt 121.
Norge har for øvrig ratifisert Europarådets konvensjon nr. 108 av 28. januar 1981 om personvern i forbindelse med elektronisk databehandling av personopplysninger (Europarådets personvernkonvensjon). Formålet med rettsakten, jf. artikkel 1, er å
«sikre respekt for enhver enkeltpersons rettigheter og grunnleggende friheter og især retten til privatlivets fred på territoriet til enhver part, uten hensyn til statsborgerskap eller bopel, i forbindelse med elektronisk databehandling av personopplysninger som vedrører ham («datavern»).»
Konvensjonen har mange likhetstrekk med GDPR og kommer til anvendelse på enhver behandling av personopplysninger som utføres av både private og offentlige aktører. Ved endringsprotokoll 10. oktober 2018 er det oppstilt mer detaljerte krav enn i gjeldende konvensjon. Endringsprotokollen har ikke trådt i kraft, men Norge har signert endringsprotokollen og avgitt en erklæring om midlertidig anvendelse av protokollen.
Etter gjeldende personvernkonvensjon plikter den enkelte avtalepart å treffe nødvendige tiltak i sin interne lovgivning for å gjennomføre hovedprinsippene for datavern. Dette inkluderer tiltak som skal sikre datakvalitet, herunder at personopplysninger i) innsamles og bearbeides på rettferdig og lovlig vis; ii) lagres for bestemte og lovlige formål og ikke nyttes på en måte som er uforenlig med disse formål; iii) er adekvate, relevante og ikke for omfattende i relasjon til de formål de lagres til; iv) er nøyaktige og, der det er nødvendig, holdt a jour; v) oppbevares på en måte som begrenser identifikasjon av datasubjektene innenfor rammen av formålsangivelsen, jf. artikkel 5. Konvensjonen oppstiller et forbud mot behandling av «særkategorier av opplysninger», med mindre intern lovgivning gir tilstrekkelig vern, jf. artikkel 6. Det kan for øvrig gjøres unntak fra enkelte konvensjonsrettigheter i tråd med reglene i artikkel 9.
8.2 Menneskerettslige rammer
Dersom en bestemmelse som innføres i norsk rett innebærer et inngrep i den grunnleggende retten til privatliv, jf. Grunnloven § 102 og EMK artikkel 8, må inngrepet være i samsvar med lov, ivareta legitime formål og være nødvendig i et demokratisk samfunn.
Etter departementets syn vil gjennomføring av forordningene i norsk rett berøre retten til privatliv, og anvendelsen av rettsaktene vil innebære et inngrep i EMKs forstand. Det vises for det første til at AMMR og kriseforordningen pålegger medlemsstatenes myndigheter å behandle sensitive personopplysninger for å fastsette hvilket land som er ansvarlig for å behandle en asylsøknad. Når det gjelder Eurodac-forordningen 2024, vektlegger departementet at myndighetene blant annet pålegges å oppta og lagre en rekke sensitive personopplysninger, og å dele opplysningene med andre EU-informasjonssystemer og i enkelte tilfeller tredjeland. Flere typer opplysninger enn tidligere, om en utvidet krets av personer, skal også registreres i systemet. I tillegg vil rettshåndhevende myndigheter fortsatt få mulighet til å søke i opplysningene i systemet.
Inngrep i retten til privatliv kan være tillatt etter EMK dersom vilkårene i artikkel 8 nr. 2 er oppfylt. Det fremgår her at inngrepet må være i samsvar med loven. Eurodac-forordningen 2024, AMMR og kriseforordningen er foreslått inkorporert i norsk rett gjennom henvisningsbestemmelser i henholdsvis utlendingsloven §§ 101 og 32. Kravet til lovhjemmel vil dermed være oppfylt.
I tillegg til at inngrepet må være i samsvar med loven, kreves det at inngrepet ivaretar ett av de legitime formålene etter EMK artikkel 8 nr. 2. De tre forordningene handler blant annet om å fastsette hvilken medlemsstat som er ansvarlig for å behandle en asylsøknad, sikre kontroll med migrasjon til Europa, også i krisetid, forhindre sekundærmigrasjon innad i EU, sikre interoperabilitet med andre EU-systemer, få bedre oversikt over personer som utgjør en sikkerhetsrisiko samt fastsette tiltak for å bekjempe alvorlig kriminalitet og terrorisme. Departementet mener at dette blant annet omfattes av hensynet til «nasjonal sikkerhet, offentlige trygghet eller landets økonomiske velferd, eller for å forebygge uorden eller kriminalitet», som er legitime formål i henhold til EMK artikkel 8 nr. 2.
Det tredje grunnkravet som må være oppfylt for at et inngrep kan tillates, er at tiltaket er «nødvendig i et demokratisk samfunn». Det må foreligge et grunnleggende samfunnsbehov, og det må være forholdsmessighet mellom inngrepet og den samfunnsmessige verdien av tiltaket. I dette tilfellet innebærer det at behandlingen av personopplysninger ikke må være mer omfattende enn det som er nødvendig ut fra formålet.
Etter departementets vurdering er det et klart samfunnsmessig behov for at den innsamlede og lagrede informasjonen om personer som kommer til Europa irregulært, er presis og fullstendig. På den måten kan personenes identitet enklere bli klarlagt og misbruk av asylsystemet forhindres. Videre vil det bidra til et velfungerende Dublin-samarbeid og asylsystem i Europa, samt gjøre medlemsstatene bedre rustet til å håndtere store migrasjonsstrømmer i en ny, potensiell krisetid. For å oppnå dette, er det også nødvendig at opplysningene blir lagret over en viss tid. Det er også et klart samfunnsmessig behov for å gi rettshåndhevende myndigheter mulighet til å søke i Eurodac, slik at de har tilgang til gode verktøy i bekjempelsen av alvorlig kriminalitet.
Departementet mener at de samfunnsmessige behovene veier tungt, og at behandling av personopplysninger som følger av utvidelsene og de nye elementene i Eurodac-forordningen 2024, AMMR, og kriseforordningen er egnet til å oppnå de legitime formålene nevnt over. Det er hensyntatt at den enkelte gir fra seg en rekke personopplysninger av sensitiv art for registrering i Eurodac, som eventuelt behandles i henhold til AMMR for å fastsette hvilken medlemsstat som er ansvarlig for å behandle asylsøknaden, og som lagres i systemet i forholdsvis lang tid (hovedsakelig henholdsvis 10 år og 5 år for asylsøkere og andre).
Samtidig legger departementet vekt på at det i forordningene er garantier mot misbruk og vilkårlighet, herunder bestemmelser som ivaretar den registrertes rett til informasjon, retting, merking, sletting med videre. Etter departementets vurdering er inngrepene som den enkelte vil utsettes for som følge av Eurodac-forordningen 2024, AMMR og kriseforordningen ikke mer inngripende enn det som er nødvendig for å møte det samfunnsmessige behovet og de legitime formålene nevnt over.
Med bakgrunn i den ovenstående vurderingen, mener departementet at bestemmelsene i Eurodac-forordningen 2024, AMMR og kriseforordningen ikke er i strid med våre konstitusjonelle rammer eller menneskerettslige forpliktelser.
8.3 Personvernrettslige rammer
8.3.1 Generelt om GDPR
GDPR inneholder en rekke krav til den som behandler personopplysninger.
Artikkel 5 angir prinsipper for behandling av personopplysninger, blant annet at personopplysninger skal behandles på en lovlig, rettferdig og åpen måte, samles inn for spesifikke, uttrykkelig angitte og berettigede formål, og at opplysningene skal være korrekte og oppdaterte. Artikkel 4 nr. 2 definerer «behandling» som
«(…) enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring».
De tre forordningene som proposisjonen her gjelder, legger til rette for ulike former for behandling av personopplysninger. I Eurodac-forordningen 2024 vil personopplysninger blant annet bli behandlet i form av innsamling og lagring, samt overføring til Eurodac, søk i og sammenlikning av opplysninger i Eurodac, og overføring til tredjeland i forbindelse med retur av en tredjelandsborger uten lovlig opphold. Gjennomføring av AMMR, med tilhørende bestemmelser i kriseforordningen, innebærer blant annet innhenting, behandling og lagring av personopplysninger, samt deling av opplysninger mellom involverte aktører.
For at behandling av personopplysningene skal være lovlig, jf. GDPR artikkel 5 nr. 1 bokstav a, må det foreligge et såkalt behandlingsgrunnlag, jf. GDPR artikkel 6 nr. 1. For opplysninger som behandles i henhold til Eurodac-forordningen 2024 og AMMR, er det særlig artikkel 6 nr. 1 bokstav e som er relevant:
«e. behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.»
Det er i tillegg et krav om at det må foreligge hjemmel til behandling av personopplysningene i annen lov, et såkalt supplerende rettsgrunnlag, jf. artikkel 6 nr. 3. Det supplerende rettsgrunnlaget for Eurodac-forordningen 2024 og AMMR vil følge av henholdsvis utlendingsloven § 101 og § 32, jf. også § 83 a.
Eurodac-forordningen 2024 og AMMR gir medlemsstatene adgang til å behandle blant annet biometriske opplysninger om enkeltindivider. Behandling av slike personopplysninger, også kjent som «særlige kategorier av personopplysninger», er som det klare utgangspunkt forbudt etter personvernforordningen, jf. GDPR artikkel 9 nr. 1. Det er likevel adgang til å behandle særlige kategorier av personopplysninger dersom ett av unntakene i artikkel 9 nr. 2 er oppfylt. Det er bokstav g som her er relevant:
«g. Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.»
Bruk av artikkel 9 nr. 2 bokstav g forutsetter, i likhet med artikkel 6 nr. 1 bokstav e, at behandlingen har et supplerende rettsgrunnlag i nasjonal rett, det vil si at adgangen til å behandle personopplysninger for det aktuelle formålet må følge av eller i medhold av norsk lov. For behandling av personopplysninger etter Eurodac-forordningen 2024, AMMR og kriseforordningen følger det supplerende rettsgrunnlaget av henholdsvis utlendingsloven § 101 og § 32, jf. også § 83 a.
Den som behandler personopplysninger pålegges videre en rekke plikter og ansvar. GDPR artikkel 4 nr. 7 definerer en behandlingsansvarlig som
«en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.»
Den behandlingsansvarlige er blant annet ansvarlig for at prinsippene for behandling av personopplysninger i artikkel 5 nevnt over, overholdes. Videre er den behandlingsansvarlige ansvarlig for å gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med GDPR, se artikkel 24.
Nasjonale myndigheter har kompetanse til å fastsette behandlingsansvaret i nasjonal rett, noe som for Norges del vil innebære et lov- eller forskriftsvedtak som for eksempel direkte utpeker en etat eller virksomhet som behandlingsansvarlig. Behandlingsansvaret kan også fastsettes indirekte, for eksempel ved at lovgivningen oppstiller en oppgave eller plikt som fordrer behandling av personopplysninger. I slike tilfeller vil formålet med behandlingen ofte være fastsatt ved lov. Den behandlingsansvarlige vil da normalt være den virksomhet som er utpekt til å utføre oppgaven eller ivareta formålet, se også veilederen til Det europeiske Personvernrådet (EDPB) 07/2020 punkt. 2.1.2. Departementet har valgt å skille ut den nærmere vurderingen av behandlingsansvaret i egne underpunkter og viser til drøftelsene der, se punkt 8.4 om Eurodac-forordningen 2024 og punkt 8.5 om AMMR og kriseforordningen.
8.3.2 Europarådets personvernkonvensjon
Europarådets personvernkonvensjon artikkel 9 nr. 2 gir adgang til å gjøre unntak fra reglene i artikkel 5, 6 og 8. Unntak må ha hjemmel i lov og være et nødvendig tiltak i et demokratisk samfunn av hensyn til blant annet beskyttelse av statens sikkerhet og offentlig sikkerhet. Den nærmere vurderingen er i stor grad sammenfallende med vurderingstemaene som gjelder for inngrep i rettighetene som følger av Grunnloven § 102 og EMK artikkel 8. Departementet viser derfor til vurderingen gjort i punkt 8.2, og legger samtidig til grunn at et tiltak som er forenlig med Grunnloven og EMK, heller ikke vil være i strid med Europarådets personvernkonvensjon.
8.3.3 Forholdet mellom GDPR og LED, og Eurodac-forordningen 2024, AMMR og kriseforordningen
GDPR vil gjelde for behandling av personopplysninger etter Eurodac-forordningen 2024, AMMR og kriseforordningen. Departementet viser her til fortalepunkt 77 i Eurodac-forordningen 2024, artikkel 72 nr. 1 og fortalepunkt 81 i AMMR, som klart understøtter at GDPR vil gjelde for medlemsstatenes (inkludert Norges) behandling av personopplysninger etter rettsaktene. Det samme må gjelde for behandling av personopplysninger etter kriseforordningen, selv om rettsakten ikke inneholder en uttrykkelig henvisning til GDPR. Departementet viser her til at artikkel 12 og 13 i kriseforordningen, som gjør unntak fra hovedreglene i AMMR, ikke legger opp til noe unntak fra plikten til å behandle personopplysninger i tråd med GDPR.
Videre viser departementet til artikkel 1 nr. 2 i kriseforordningen, der det sies at midlertidige tiltak som vedtas i henhold til forordningen, skal være i tråd med grunnleggende forpliktelser i Den europeiske unions pakt om grunnleggende rettigheter. GDPR er hjemlet i artikkel 16 i traktaten om Den europeiske unions virkemåte, og har blant annet til formål å ivareta retten til personvern etter artikkel 8 i Den europeiske unions pakt om grunnleggende rettigheter.
Det er dessuten inntatt tydelige garantier i enkeltbestemmelser i forordningene som skal beskytte mot misbruk og vilkårlighet. I Eurodac-forordningen 2024 er de sentrale personverngarantiene i all hovedsak inntatt i kapittel X og XII, og omhandler blant annet den registrertes rett til innsyn og informasjon, rett til merking, retting og sletting av opplysninger, samt bestemmelser om lagringstid av opplysninger, databehandling og tilsyn. Departementet viser også til at det i formålsbestemmelsen til Eurodac-forordningen 2024, artikkel 1 nr. 2 annet avsnitt, kommer klart frem at rettsakten skal ivareta grunnleggende rettigheter, som blant annet retten til vern av personopplysninger. Hva gjelder personverngarantier i AMMR, viser departementet til artikkel 19 om retten til informasjon, retting og sletting av opplysninger, og artikkel 72 om datasikkerhet og vern av personopplysninger.
For behandling av personopplysninger til rettshåndhevende formål, vil LED, som er gjennomført i norsk rett gjennom politiregisterloven med tilhørende forskrifter, komme til anvendelse, se Eurodac-forordningen 2024 fortalepunkt 78 og AMMR artikkel 72 nr. 1.
8.4 Plassering av behandlingsansvar for oppgaver etter Eurodac-forordningen 2024
8.4.1 Gjeldende rett – behandlingsansvaret etter gjeldende Eurodac-forordning 2013
Utlendingsloven § 80 slår fast at «(…) personopplysningsloven gjelder med mindre annet er bestemt i eller i medhold av lov». Dette fremkommer også i § 101 annet ledd første punktum, hvor det fremgår at personopplysningsloven gjelder «for behandlingen av opplysningene hvis ikke annet er bestemt i lov eller forskrift.»
Norske utlendingsmyndigheter kan behandle personopplysninger når dette er nødvendig for å utøve myndighet eller utføre andre oppgaver etter utlendingsloven, jf. utlendingsloven § 83 a. I medhold av denne bestemmelsen er det presisert i utlendingsforskriften § 17-7 a hvilke formål behandlingen av opplysninger kan ha. Videre er det i utlendingsforskriften § 17-7 b regulert hvem som er behandlingsansvarlig for behandlingen:
«Utlendingsdirektoratet, Utlendingsnemnda, politiet, Sysselmesteren på Svalbard og utenrikstjenesten er hver for seg behandlingsansvarlig for behandling av personopplysninger for egne formål, herunder opplysninger registrert i Utlendingsdatabasen. Behandlingsansvaret i utenrikstjenesten utøves av Utenriksdepartementet.
Utlendingsdirektoratet er behandlingsansvarlig for Utlendingsdatabasen.»
Videre har utlendingsforskriften en særregulering som gjelder behandlingsansvar knyttet til behandling av personopplysninger etter Eurodac-forordningen 2013. Det fremgår av utlendingsforskriften § 18-5 at behandlingsansvaret for Eurodac ligger til Utlendingsdirektoratet (UDI), og at Kripos er databehandler. Samtidig er det presisert at for behandling av personopplysninger i Eurodac som ikke omfatter utlendingsforvaltningen, men gjelder rettshåndhevelsesformål, er det Kripos som er behandlingsansvarlig.
Det er ingen tilsvarende særregulering for gjeldende Dublin III-forordning. Behandlingsansvaret følger av den generelle regelen i utlendingsforskriften § 17-7 b.
For det tilfellet at en oppgave som en aktør i utlendingsforvaltningen er pålagt å utføre innebærer behandling av personopplysninger, vil det følge med et behandlingsansvar for den aktuelle behandlingen. De ulike aktørene i utlendingsforvaltningen har delvis overlappende og tilgrensende oppgaver etter utlendingsloven og utlendingsforskriften som følger av gjeldende Eurodac-forordning 2013.
I korte trekk er ansvarsdelingen mellom politiet og UDI i saker om beskyttelse i Eurodac- og Dublin-sammenheng, slik at Politiets utlendingsenhet (PU) har ansvar for å fastsette identiteten til utlendingen og for den innledende saksbehandlingen med opptak og lagring av personopplysninger, jf. utlendingsloven § 93. UDI er fagmyndighet og har vedtakskompetanse etter utlendingsloven § 65.
UDI har også ansvaret for selve saksbehandlingen i henhold til Dublin III-forordningen etter utlendingsloven § 32, jf. § 65, og avgjør om det skal sendes overtakelsesanmodning eller tilbaketakelsesanmodning til annen medlemsstat, eller om saken skal realitetsbehandles i Norge. Det er også UDI som behandler anmodninger til Norge om overtakelse eller tilbaketakelse fra andre medlemsstater.
UDI har vedtakskompetanse i saker om bort- og utvisning, men politiet har saksforberedende oppgaver og ansvar for å undersøke om det foreligger grunnlag for bort- eller utvisning, jf. utlendingsloven §§ 18, 66 til 68, 72 og 121 til 122. I enkelte bortvisningssaker har politiet begrenset vedtakskompetanse etter utlendingsloven § 18.
Klage over vedtak som UDI ikke tar til følge, oversendes Utlendingsnemnda (UNE) som klageinstans. UNE behandler saken som et uavhengig organ, jf. utlendingsloven §§ 76 og 77. Både UDI og UNEs vedtak kan innebære plikt for utlendingen til å forlate riket eller Schengen-området og EU etter utlendingsloven § 90 (utreiseplikt). Politiet har ansvar for å uttransportere en utlending som ikke etterkommer pålegg om utreiseplikt, jf. utlendingsloven § 90 e. For en utlending som omfattes av Dublin-regelverket kan det unnlates å sette utreisefrist, jf. utlendingsloven § 90 a. Også i disse sakene har politiet ansvar for å overføre utlendingen til ansvarlig medlemsstat dersom begjæring om utsatt iverksettelse avslås, i henhold til utlendingsloven § 90 e. Overføringen skjer i henhold til artikkel 29 i Dublin III-forordningen.
8.4.2 Forslaget i høringsnotatet
Departementet foreslo langt på vei en videreføring av gjeldende rett, der Utlendingsdirektoratet (UDI) ble tildelt rollen som behandlingsansvarlig i Norge for behandling av personopplysninger i Eurodac, og Kripos fikk rollen som behandlingsansvarlig i tilfeller der behandlingen skjer med bakgrunn i rettshåndhevelsesformål. Videre foreslo departementet at Politiets sikkerhetstjeneste (PST) skulle anses som behandlingsansvarlig for behandling av personopplysninger til rettshåndhevelsesformål, i den grad behandlingen faller naturlig inn under deres mandat.
I høringsnotatet ga departementet for øvrig uttrykk for at det var krevende å ta stilling til plasseringen av behandlingsansvaret, og etterlyste derfor særskilt tilbakemelding fra høringsinstansene på fordelingen av ansvaret.
8.4.3 Høringsinstansenes syn
Politidirektoratet (POD) har flere innspill til plasseringen av behandlingsansvaret. I høringssvaret påpeker direktoratet at artikkel 36 (ansvar for databehandling) i Eurodac-forordningen 2024 vil være retningsgivende for hva behandlingsansvar vil innebære og hvordan dette bør reguleres nasjonalt. Etter PODs syn vil plasseringen av behandlingsansvaret måtte bero på hvilken myndighet som i størst grad kan ivareta forpliktelsene etter artikkel 36 nr. 1 til 3.
Videre uttaler POD at det må gjøres en opprydning i forholdet mellom utlendingsforskriften § 17-7 b og § 18-5. POD ønsker også at det redegjøres for forholdet mellom utlendingsloven § 100 og § 101, samt for forholdet mellom tilhørende forskriftsbestemmelser i utlendingsforskriften §§ 18-1, 18-3 og 18-5 knyttet til politiets rolle for utførelse av biometriopptak og nødvendig registersøk for opptak. POD ønsker videre at det presiseres om ansvarsforholdene mellom utlendingsmyndighetene skal være like for opptak av biometri etter nasjonale formål og for å ivareta forpliktelsene etter Eurodac-forordningen 2024. Etter PODs syn har disse forholdene nær tilknytning til plassering av behandlingsansvaret.
Etter PODs syn er det hensiktsmessig at utlendingsforskriften § 18-5 regulerer behandlingsansvar basert på rettslig grunnlag, med lik systematikk som § 17-7 b, men at man ved ny formulering i § 18-5 unngår formuleringen om at den enkelte etat er behandlingsansvarlig for personopplysninger som behandles for «egne formål», da direktoratet ikke har egne formål knyttet til registrering i Eurodac. POD mener at ved en regulering av delt behandlingsansvar bør det vises til de oppgaver organet er pålagt i tilknytning til Eurodac-forordningen 2024, slik disse eventuelt nedfelles i nasjonal rett.
Kripos viser i sitt høringssvar til at de ikke har noen oppgaver etter Eurodac-forordningen 2024, med unntak av saker om identitetsavklaring. Deres innspill knytter seg derfor i all hovedsak til behandling av opplysninger i Eurodac til bruk for rettshåndhevelsesformål.
Kripos opplyser at det er opprettet et «Central Access Point» (CAP) ved særorganet, som mottar anmodninger om tilgang til opplysninger i VIS. CAP vurderer om anmodende myndighet skal gis tilgang til opplysninger i registeret. Det samme gjelder tilgang til EES og til ETIAS, når dette systemet blir operativt. Etter Kripos’ syn er det naturlig at CAP utpekes som «verifying authority», det vil si kontrollmyndighet, i henhold til Eurodac-forordningen 2024.
Kripos har for øvrig ingen innvendinger mot at PST også utpekes som kontrollmyndighet, og at dette forskriftsfestes i utlendingsforskriften § 18-6. Dersom PST likevel skal benytte Kripos sitt kontaktpunkt (CAP), vil Kripos være behandlingsansvarlig for PSTs anmodninger om bruk av opplysninger i Eurodac for rettshåndhevelsesformål. Kripos sin løsning er imidlertid en ugradert løsning.
Politiets sikkerhetstjeneste (PST) på sin side mener det er mest hensiktsmessig å benytte Kripos sin løsning, da de har god erfaring med dette. I tillegg har Kripos et fagmiljø med høy kompetanse på vurderinger knyttet til rettshåndhevende myndigheters mulighet til å foreta søk i ulike EU-registre/databaser. Samtidig ønsker ikke PST å avskjæres fra muligheten for i fremtiden å kunne være kontrollmyndighet og behandlingsansvarlig, og ber således om at regelverket formuleres slik at det ikke stenger for denne muligheten.
Politiets utlendingsenhet (PU) mener UDI bør inneha behandlingsansvaret for den nasjonale Eurodac-løsningen, all den tid dataflyten går via UDIs systemer. PU ønsker likevel behandlingsansvar for overføring av opplysninger etter artikkel 50 i Eurodac-forordningen 2024.
Utlendingsdirektoratet (UDI) mener behandlingsansvaret for den nasjonale Eurodac-løsningen bør ligge hos dem. Etter UDIs syn vil det være krevende å dele et behandlingsansvar med andre aktører av ressurs- og budsjettmessige grunner. En slik løsning vil likevel ikke være til hinder for at politiet og UNE anses som behandlingsansvarlige for personopplysninger som de behandler til egne oppgaver eller formål. UDI mener at både de og politiet vil bli pålagt å gjennomføre ulike oppgaver knyttet til Eurodac, og at det derfor bør være et selvstendig behandlingsansvar for hver av virksomhetene.
UDI støtter også departementets forslag om at PST og Kripos anses som behandlingsansvarlige for behandlingen av personopplysninger etter Eurodac-forordningen 2024 artikkel 1 nr. 1 bokstav e. Videre bør PU tildeles behandlingsansvar for behandlinger etter Eurodac-forordningen 2024 artikkel 50.
Utlendingsnemnda (UNE) ber departementet vurdere og avklare hvorvidt også de bør være kompetent myndighet i Eurodac, da opplysningene som registreres i Eurodac kan endre seg over tid og UNE bør kunne bidra med registrering av for eksempel nye identiteter, verifiserte identiteter og sannsynliggjorte identiteter. De kan også bekrefte eller oppdatere om personen er innvilget retur- og integreringsstøtte, om personen har fått utstedt visum og av hvilken medlemsstat, samt avslag på asylsøknad.
UNE tiltrer i utgangspunktet at UDI er behandlingsansvarlig, men ber samtidig departementet vurdere om UNE bør bli behandlingsansvarlig, da UNE er det for sine opplysninger som registreres i DUF. UNE oppfordrer også departementet til å se på hjemmelsrekken, og mener blant annet at å «gi forskrift» i § 101 ikke er tydelig nok for å kunne fravike personvernforordningen.
Datatilsynet viser til at det er viktig å sikre tydelige ansvarsforhold i forbindelse med endringene i Eurodac, da dette vil være avgjørende for at den registrerte skal kunne utøve sine rettigheter og for at tilsynsmyndighetene skal kunne vite hvem som har ansvaret for etterlevelse av personvernregelverket. Behandlingsansvaret bør derfor etter Datatilsynets syn reguleres uttømmende i utlendingsforskriften § 18-5. Videre skriver tilsynet at:
«Datatilsynet har ikke innvendinger mot å fastsette at PST er behandlingsansvarlig for behandling av personopplysninger for rettshåndhevelsesformål som faller inn under deres ansvarsområde. For ordens skyld vil vi påpeke at Datatilsynet ikke er tilsynsmyndighet for PSTs behandling av personopplysninger, jf. politiregisterloven § 58 annet punktum. For PST er det EOS-utvalget som har tilsynsmyndighet.
Datatilsynet bemerker at fortalepunkt 82 til Eurodac-forordningen av 2024 gir anvisning på at hver medlemsstat bør utpeke den myndigheten som skal anses som behandlingsansvarlig i henhold til personvernforordningen og LED, og som bør ha det sentrale ansvaret («central responsibility») for den behandlingen som medlemsstaten skal utføre.
Vi merker oss at PU ikke er nevnt i den foreslåtte bestemmelsen. Datatilsynet mener at ev. behandlingsansvar for PU må vurderes i lys av fortalepunkt 82.»
Redd Barna er bekymret for at Eurodac utvides til å bli en omfattende innvandringsdatabase, noe som kan være problematisk for retten til privatliv og personvern. De savner en grundigere utredning på dette punkt.
MiRA-senteret mener som tidligere nevnt at EU-pakten utgjør et stort tilbakeskritt for asylretten og menneskerettigheter i Europa. Senteret er derfor grunnleggende uenig i kontrollmekanismene som ligger til grunn for endringsforslagene. De påpeker også at lovgiver i større grad gir sårbare menneskegrupper svekkede menneskerettigheter fordi man ønsker et mer «effektivt» asylsystem, kontroll for å forhindre terrorisme og annen alvorlig kriminalitet. Senteret viser også til at det nå gis adgang til økt opptak og lagring av biometri og personopplysninger.
8.4.4 Departementets vurdering
8.4.4.1 Formålsorientert organisering av behandlingsansvaret
Selv om behandlingsansvaret er foreslått regulert i utlendingsforskriften, og derfor vil bli behandlet nærmere i det etterfølgende forskriftsarbeidet, finner departementet likevel grunn til å kommentere enkelte innspill fra høringsinstansene som knytter seg til forskriften, i proposisjonen her.
Departementet har i høringen fått tilbakemelding om at dagens regulering av behandlingsansvar for Eurodac i noen tilfeller skaper tvil om hvilken aktør som er behandlingsansvarlig, og at denne tvilen vil forsterkes ytterligere dersom gjeldende regulering videreføres.
Departementet ser at det er gode grunner for å justere høringsforslaget noe, slik at utlendingsforskriften § 18-5 langt på vei gis tilsvarende ordlyd som den generelle bestemmelsen om behandlingsansvar i forskriftens § 17-7 b. Hensikten er å tydeliggjøre at hver aktør er behandlingsansvarlig for sine oppgaver eller formål etter forordningen, som betyr at behandlingsansvaret fordeles på flere ulike aktører.
En formålsorientert organisering av behandlingsansvaret innebærer at det ikke er nødvendig å regulere eksplisitt at det skal følge med et behandlingsansvar dersom for eksempel UNE får egne oppgaver eller formål i henhold til forordningen. Det samme gjelder i utgangspunktet for PU, som i høringsrunden har gitt uttrykk for at det bør følge et behandlingsansvar med for deres behandling av personopplysninger etter Eurodac-forordningen 2024 artikkel 50. Departementet bemerker imidlertid at PUs rolle og ansvar knyttet til artikkel 50 vil bero på hvilket personvernregelverk (LED eller GDPR) som kommer til anvendelse. Etter departementets syn er det GDPR som vil komme til anvendelse ved behandling av personopplysninger etter Eurodac-forordningen 2024 artikkel 50. Departementet viser her til at behandling av opplysninger etter artikkel 50 skjer for returformål, det vil si innenfor politiets oppgaver som forvaltnings- og utlendingsmyndighet.
UNE har i høringen gitt uttrykk for at utlendingsloven § 101 bør justeres dersom det er ønskelig at nemnda skal bli behandlingsansvarlig for enkelte oppgaver etter Eurodac-forordningen 2024. Fra høringsinnspillet hitsettes følgende fra side 2 flg.:
«Hvis det forskriftsfestes at UDI er behandlingsansvarlig, slik det er foreslått i justert utlendingsforskrift § 18-5, bør hjemmelsrekken være i orden. Det vil si at utlendingsloven (utl.) § 101 bør utformes riktig og gi tydelig hjemmel for å fravike personvernforordningen. Å «gi forskrift om» er ikke en tydelig nok hjemmel for å fravike lov, om man skulle mene at UNE er eller vil bli behandlingsansvarlig i henhold til personvernforordningen (GDPR). For å unngå usikkerhet i fremtidig regelverk, bør utl. § 101 derfor utformes annerledes.»
Departementet er ikke enig i at det er nødvendig å justere utlendingsloven § 101 på en slik måte som UNE antyder. Det fremgår av GDPR artikkel 4 nr. 7 at den behandlingsansvarlige kan fastsettes i medlemsstatenes nasjonale rett. For Norges del vil dette skje enten gjennom et lov- eller forskriftsvedtak. Et eksempel på en slik regulering er forskrift om Meldingssystem for smittsomme sykdommer (MSIS-forskriften), som i § 1-5 legger behandlingsansvaret direkte til Folkehelseinstituttet. Hva gjelder utlendingsregelverket, viser departementet til at det i utlendingsloven § 101 er fastsatt at det kan gis forskrift om behandlingen av opplysningene i Eurodac. Utlendingsforskriften § 18-5 gir presiserende regler om behandlingsansvaret og er i tråd med forskriftshjemmelen i lovens § 101. Slik departementet ser det, er hjemmelsrekken i orden. Datatilsynet støtter også forslaget om å videreføre kompetansen til å gi bestemmelser i forskrift om behandling av opplysninger i Eurodac, se side 3 i tilsynets høringsinnspill, jf. også forslaget til utlendingsloven § 101 annet ledd.
8.4.4.2 Om adgangen til å oppstille en formålsorientert organisering av behandlingsansvaret
Det kan stilles spørsmål ved om Eurodac-forordningen 2024 oppstiller en skranke mot at behandlingsansvaret fordeles på flere ulike aktører. Datatilsynet har i høringen pekt på at fortalepunkt 82 gir anvisning på at hver medlemsstat bør utpeke den myndighet som skal anses som behandlingsansvarlig i henhold til GDPR og LED, og som bør ha det sentrale ansvaret for den behandlingen som medlemsstaten skal utføre.
Departementet ser at fortalepunkt 82 isolert sett kan tale for at behandlingsansvaret legges til én aktør, som skal ha det sentrale ansvaret for behandlingen av personopplysninger etter Eurodac. Fortalen er imidlertid kun veiledende, og man må derfor se hen til ordlyden i de operative bestemmelsene for å kunne utlede de nærmere grensene for organiseringen av behandlingsansvaret etter Eurodac-forordningen 2024. Gjennomføringen må uansett tilpasses nasjonale forhold og aktører.
Ansvaret for databehandling i Eurodac er nærmere angitt i artikkel 36 i Eurodac-forordningen 2024. Etter bestemmelsens nr. 1 til 3 plikter den enkelte medlemsstat å sørge for tiltak som skal sikre at biometriske opplysninger og andre opplysninger behandles i tråd med gjeldende regelverk. Dette er typisk oppgaver som en behandlingsansvarlig, jf. GDPR artikkel 4 nr. 7, vil ha det overordnede ansvaret for å overholde. Selv om artikkel 36 regulerer databehandling, oppstilles det likevel ikke noe eksplisitt krav her om at medlemsstaten må utpeke en nasjonal myndighet som behandlingsansvarlig.
Det følger imidlertid av artikkel 42 nr. 1 bokstav a i Eurodac-forordningen 2024 at opprinnelsesmedlemsstaten ved registrering av opplysninger i Eurodac plikter å informere om identiteten og kontaktinformasjonen til den behandlingsansvarlige i henhold til artikkel 4 nr. 7 i GDPR. Bestemmelsen forutsetter altså at medlemsstatene har utpekt en behandlingsansvarlig for behandling av opplysninger i Eurodac. Utover dette sier ikke bestemmelsen noe om hvordan den enkelte medlemsstat skal organisere behandlingsansvaret, herunder om ansvaret kan fordeles til flere forskjellige aktører.
Etter departementets syn vil artikkel 36 nr. 1 til 3 være retningsgivende for hvordan behandlingsansvaret skal organiseres, da den som tildeles rollen som behandlingsansvarlig plikter å ivareta forpliktelsene etter bestemmelsens nr. 1 til 3. Slik departementet ser det, må det avgjørende være om medlemsstaten har organisert behandlingsansvaret på en slik måte at forpliktelsene etter bestemmelsens nr. 1 til 3 ivaretas, uavhengig av om dette gjøres med én eller flere behandlingsansvarlige. På denne bakgrunn mener departementet at den skisserte løsningen, som innebærer at behandlingsansvaret fordeles mellom ulike aktører i utlendingsforvaltningen, ikke står i et spenningsforhold til Eurodac-forordningen 2024.
I høringen har Datatilsynet pekt på at departementet bør benytte anledningen til uttømmende å regulere behandlingsansvaret etter Eurodac-forordningen 2024, i utlendingsforskriften § 18-5. Det er imidlertid departementets vurdering at det vil være lite tjenlig å uttømmende regulere behandlingsansvaret i lov eller forskrift. Departementet viser til at altfor detaljerte regler øker risikoen for hyppige regelendringer, med den følge at regelverket over tid blir uoversiktlig.
8.4.4.3 Sammenhengen mellom nasjonale ansvarsforhold og Eurodac-forordningen 2024
Et formålsorientert behandlingsansvar innebærer, som nevnt innledningsvis i punkt 8.4.4.1, at den enkelte aktør i utlendingsforvaltningen er behandlingsansvarlig for opplysninger som behandles for egne formål. POD har i høringen gitt uttrykk for at en formålsorientert organisering av behandlingsansvaret er uheldig, da dette ikke vil være dekkende for å pålegge politiet behandlingsansvar, ettersom politiet ikke har egne formål knyttet til registrering i Eurodac (utover pålagte oppgaver i screeningforordningen). Departementet deler ikke PODs syn og viser til at utlendingsforvaltningen i Norge er organisert på en slik måte at en søknad om beskyttelse (asyl) skal fremsettes for politiet, jf. utlendingsloven § 93 første ledd første punktum, jf. også Ot.prp. nr. 75 (2006–2007) punkt. 3.6.1. Politiet registrerer så søknaden og tar fotografi og fingeravtrykk av utlendingen, jf. utlendingsloven § 93 tredje ledd, jf. utlendingsforskriften § 17-21. Lovbestemmelsen henviser videre til utlendingsloven § 100 første ledd bokstav b, som fastsetter at det kan tas fingeravtrykk og ansiktsfoto av utlending som søker om en tillatelse etter utlendingsloven, jf. også utlendingsforskriften § 18-1 første ledd bokstav a, jf. tredje ledd. Henvisningen fra utlendingsloven § 93 tredje ledd første punktum til § 100 første ledd bokstav b tydeliggjør at politiet har klare saksforberedende oppgaver i saker om beskyttelse (asyl) som innebærer behandling av personopplysninger, herunder biometriske opplysninger. Eurodac-forordningen 2024 medfører ingen innsnevring av de oppgavene som politiet utfører i dag.
Det må likevel bemerkes at utlendingsloven § 93 tredje ledd første punktum ikke henviser til utlendingsloven § 101, som gjelder behandling av fingeravtrykk i Eurodac. Dette gjør at sammenhengen mellom nasjonale ansvarsforhold og de enkelte oppgaver som tilfaller medlemsstatenes nasjonale myndigheter etter Eurodac-forordningen 2024 blir noe uklar, jf. også PODs innspill om behovet for en uttalelse om hvorvidt ansvarsforholdene mellom utlendingsmyndighetene skal være like for opptak av biometri etter nasjonale formål og for å ivareta forpliktelsene etter ny Eurodac-forordning. Også Advokatforeningen har i høringsrunden kommentert at man bør søke å tydeliggjøre ansvarsdeling for ulike oppgaver og formål, slik at man unngår uklarheter i ansvarsfordelingen og det praktiske samarbeidet mellom utlendingsmyndighetene og politiet.
Det er departementets syn at henvisningen til § 100 første ledd bokstav b fra § 93 tredje ledd første punktum trolig ble tatt inn av informasjonshensyn, og at det ikke har vært hensikten å gjøre et skille mellom nasjonale ansvarsforhold slik de er nedfelt i utlendingsloven og -forskriften, og forpliktelser som følger av gjeldende Eurodac-forordning 2013 og ny forordning 2024. Departementet antar at det skyldes en inkurie at § 93 tredje ledd første punktum ikke inneholder en tilsvarende henvisning til § 101 som til § 100 første ledd bokstav b.
For å tydeliggjøre sammenhengen mellom nasjonale ansvarsforhold og Eurodac-forordningen 2024, mener departementet at det er hensiktsmessig å innta en henvisning til § 101 i § 93 tredje ledd første punktum. I tillegg foreslår departementet å endre begrepsbruken fra «fotografi» til «bilde» av hensyn til enhetlig terminologi og klarspråk. Departementet gjør i denne sammenheng oppmerksom på at forslaget om å endre § 93 ikke har vært på offentlig høring. Alle forslag til lov- og forskriftsendringer legges normalt ut på høring. Høring kan likevel unnlates dersom høring må anses åpenbart unødvendig.
Departementet mener at høring i dette tilfellet er åpenbart unødvendig. Det er tale om en lovteknisk justering av begrenset art, i form av en henvisning og mindre språklig justering uten realitetsbetydning. Henvisningsendringen gjøres av informasjonshensyn og skal synliggjøre for allmennheten at politiet har adgang til å ta opp fingeravtrykk og ansiktsbilde i samsvar med reglene i Eurodac-forordningen 2024, mens den språklige justeringen gjøres av hensyn til enhetlig terminologi og klarspråk. Hva gjelder den språklige justeringen, viser departementet også til proposisjon om Endringer i grenseloven, utlendingsloven og SIS-loven (screening av tredjelandsborgere) og samtykke til godtakelse av forordning (EU) 2024/1356 om innføring av screening av tredjelandsborgere ved de ytre grensene mv. og forordning (EU) 2022/1190 om endringer i politisamarbeidsforordningen (videreutvikling av Schengen-regelverket), der det foreslås å blant annet bytte ut begrepet «ansiktsfoto» med «ansiktsbilde» i de øvrige bestemmelser i utlendingsloven. Nevnte proposisjon vil bli lagt frem for Stortinget våren 2026.
Eurodac-forordningen 2024 utvider formålet med Eurodac, noe som også åpner for flere oppgaver enn tidligere. Det kan ikke utelukkes at utlendingslovens og -forskriftens regler om nasjonale ansvarsforhold ikke gir svar på hvilken nasjonal myndighet som skal ivareta de enkelte oppgavene. I et tilfelle som dette, må etatene seg imellom bestemme hvem som skal ha ansvar for den aktuelle oppgaven, med påfølgende behandlingsansvar. Dette kan for eksempel gjøres gjennom en samhandlingsavtale som etatene utarbeider i fellesskap. Når avtalen er inngått og oppgavene fordelt, vil det rettslige grunnlaget for behandlingen av personopplysninger til det aktuelle formålet følge direkte av forordningen (med mindre den aktuelle bestemmelsen i forordningen krever et supplerende rettsgrunnlag i medlemsstatenes nasjonale rett), jf. ny utlendingslov § 101. En virksomhet som gjennom samhandlingsavtalen får tildelt en oppgave som Eurodac-forordningen 2024 pålegger de enkelte medlemsstatene å utføre, vil anses å behandle personopplysninger for sine egne formål, der utlendingslovens og -forskriftens regler om nasjonale ansvarsforhold ikke i tilstrekkelig grad regulerer nasjonal ansvarsfordeling.
8.4.4.4 Ivaretakelse av den registrertes rettigheter etter GDPR
Det kan problematiseres om en formålsorientert organisering av behandlingsansvaret vil kunne komme i konflikt med den registrertes mulighet til å utøve sine rettigheter etter personvernforordningen. Det er et viktig samspill mellom den registrertes formelle rettigheter etter kapittel III i GDPR, og den registrertes faktiske og praktiske mulighet til å få realisert de formelle rettighetene. Departementet viser i denne sammenheng til personvernprinsippene inntatt i GDPR artikkel 5, især prinsippene om lovlighet, rettferdighet og åpenhet, jf. bokstav a. Departementet ser at det å overlate til utlendingsforvaltningen å utarbeide en eventuell samhandlingsavtale der det fremgår hvem som skal ha ansvar for de ulike formålene og oppgavene i forordningen med tilhørende behandlingsansvar, kan gjøre det vanskeligere for den registrerte å vite hvem vedkommende skal forholde seg til for å utøve sine rettigheter etter forordningen. En ytterligere komplikasjon er at den registrerte kan bli nødt til å måtte forholde seg til flere behandlingsansvarlige, all den tid det er ulike behandlingsansvarlige for ulike oppgaver etter Eurodac-forordningen 2024.
Likevel mener departementet at det er riktig å overlate til de enkelte virksomhetene å organisere den nærmere fordelingen av behandlingsansvaret i en eventuell samhandlingsavtale, alle forhold tatt i betraktning. For å avhjelpe den registrertes behov for informasjon, kan det være hensiktsmessig at for eksempel UDI innehar rollen som felles kontaktpunkt for anmodninger om innsyn. På denne måten vil den registrerte alltid ha noen å forholde seg til.
Det følger av GDPR artikkel 12 nr. 2 første punktum at den behandlingsansvarlige skal legge til rette for at den registrerte kan utøve sine rettigheter i henhold til GDPR artikkel 15 til 22. Som ledd i denne oppgaven er det viktig at UDI, UNE og politiet gir den registrerte tilstrekkelig veiledning om vedkommendes rettigheter etter GDPR og Eurodac-forordningen 2024. Departementet bemerker i denne sammenhengen at EUs byrå for grunnleggende rettigheter (FRA) har utarbeidet en veileder som gir viktig og kortfattet informasjon om hvordan den registrertes personopplysninger behandles. Det kan være hensiktsmessig at også UDI, UNE og politiet utarbeider en liknende veileder i fellesskap, jf. også Eurodac-forordningen 2024 artikkel 42 nr. 3. Ved utarbeidelsen av en slik veileder er det viktig å ha i mente at informasjonen må tilpasses brukergruppen. Departementet nevner i denne sammenheng at barn tilhører en sårbar gruppe og har behov for særskilt tilrettelegging, og at Eurodac-forordningen 2024 nå senker aldersgrensen for opptak fra 14 år ned til seks år.
8.4.4.5 Behandlingsansvar for den nasjonale Eurodac-løsningen
Eurodac består av både en sentral løsning (Eurodac Central System) og en nasjonal løsning. Den sentraliserte delen av systemet forvaltes av eu-LISA, som er EUs IT-byrå. Den nasjonale løsningen forvaltes av utlendingsmyndighetene i Norge.
UDI har i høringen gitt uttrykk for at direktoratet bør ha behandlingsansvaret for den nasjonale Eurodac-løsningen. Direktoratet viser til at
«et felles behandlingsansvar for systemløsningen sammen med politiet [vil] være krevende å forvalte med tanke på blant annet budsjett og ressursstyring:»
Departementet ser at et felles behandlingsansvar for selve systemløsningen vil være utfordrende og at et felles behandlingsansvar her kan gjøre det krevende for eksterne aktører som politiet å treffe egnede organisatoriske og tekniske tiltak for å ivareta den registrertes rett til personvern, all den tid systemløsningen ligger utenfor deres øvrige systemarkitektur. Departementet mener at det er gode grunner til at UDI bør ha behandlingsansvaret for selve systemløsningen og tar derfor sikte på å forskriftsfeste dette i utlendingsforskriften § 18-5, som foreslått i høringsnotatet.
Som behandlingsansvarlig for den nasjonale Eurodac-løsningen vil UDI ha ansvaret for den tekniske og praktiske forvaltningen og driften av løsningen. UDI har også et overordnet ansvar for at behandlingen av opplysningene i registeret skjer i samsvar med gjeldende regelverk. I rollen som systemansvarlig for Eurodac-løsningen må UDI kunne stille krav til de andre aktørene, herunder politiet og UNE, i den grad det er nødvendig for at UDI skal kunne ivareta rollen som behandlingsansvarlig for registeret som sådan. Rent konkret innebærer dette at UDI må kunne stille visse krav til hva som lagres, hvordan lagringen skal foregå, forvaltning av datakvalitet, håndtering av sletteplikt samt ivaretakelse av den registrertes rettigheter og friheter etter GDPR. Ordningen som skisseres her vil likevel ikke være til hinder for at politiet og UNE anses som behandlingsansvarlige for personopplysninger de behandler for egne formål. Dette innebærer at den enkelte aktør selv har et ansvar for å sikre personvernet i egen organisasjon og å sikre at behandling av opplysninger i og fra registeret skjer på lovlig måte. En naturlig forlengelse av dette er at UDI ikke kan stille krav som er knyttet til opplysningenes materielle innhold, med mindre de også har faglig instruksjonsmyndighet. Departementet mener at den ordningen som skisseres her, i stor grad følger samme systematikk som øvrige systemer i utlendingsforvaltningen, herunder den nasjonale delen av Schengen informasjonssystem (SIS) og den nasjonale delen av visuminformasjonssystemet (NORVIS). Departementet ser ikke bort ifra at det på sikt vil kunne oppstå behov for justeringer i behandlingsansvaret etter hvert som Eurodac-forordningen 2024 har fått virke og man har fått høstet erfaringer. Dette er noe som vil bli fulgt opp på egnet vis.
8.4.4.6 Behandling av personopplysninger for rettshåndhevelsesformål
Eurodac-forordningen 2024 viderefører adgangen til å anmode om sammenligning av biometriske opplysninger lagret i Eurodac for å forebygge, avdekke og etterforske terrorhandlinger eller andre alvorlige straffbare forhold, se kapittel XI i Eurodac-forordningen 2024. Det fremgår av henholdsvis artikkel 5 og artikkel 6 at medlemsstatene skal utpeke en nasjonal myndighet med kompetanse til å anmode om slike søk («utpekte myndigheter»), og en nasjonal myndighet som skal ivareta kontrollfunksjonen («kontrollmyndigheter»).
I høringsnotatet la departementet opp til å videreføre Kripos' rolle som kontrollmyndighet. Det ble videre foreslått å forskriftsfeste rollen som kontrollmyndighet i utlendingsforskriften ny § 18-6. For ordens skyld bemerker departementet at fordi det her er tale om en eventuell forskriftsendring, vil den nærmere oppfølgingen av forslaget skje i tilknytning til det etterfølgende forskriftsarbeidet, jf. også punkt 6.13.4 over.
I høringsnotatet ble det videre nevnt at det kunne være aktuelt å etablere en egen kontrollmyndighet i PST, som skal vurdere og avgjøre anmodninger om registersøk der PST er anmodende myndighet. Dette innebærer at sikkerhetstjenesten både kan anmode om tilgang til opplysninger til Eurodac for rettshåndhevelsesformål, samt selv avgjøre om vilkårene for søk er oppfylt. Forordningen stenger ikke for at det etableres mer enn én kontrollmyndighet, jf. artikkel 6 nr. 1 tredje avsnitt.
I høringen har PST imidlertid gitt uttrykk for at det på nåværende tidspunkt er mest hensiktsmessig for tjenesten å benytte Kripos sin løsning. Samtidig ønsker ikke PST å avskjæres fra muligheten for i fremtiden å kunne være kontrollmyndighet og behandlingsansvarlig, og de ber således om at regelverket formuleres slik at det ikke stenger for denne muligheten. Ettersom det også her er tale om en eventuell forskriftsendring, vil departementet vurdere PSTs innspill nærmere i det etterfølgende forskriftsarbeidet. Departementet bemerker imidlertid at så lenge PST benytter seg av Kripos sin løsning, vil Kripos være behandlingsansvarlig også for behandling av PSTs anmodninger om bruk av opplysninger i Eurodac for rettshåndhevelsesformål, da behandlingsansvaret vil følge den kontrollmyndighet som etableres. Departementet gjør videre oppmerksom på at det er EOS-utvalget som vil være tilsynsmyndighet dersom PST blir kontrollmyndighet og behandlingsansvarlig.
8.5 Plassering av behandlingsansvar for oppgaver etter AMMR og kriseforordningen
8.5.1 Om behandlingsansvaret etter gjeldende Dublin III-forordning
Etter utlendingsloven § 83 a tredje ledd kan det gis regler i forskrift om behandlingen av personopplysninger, herunder også regler om behandlingsansvaret. Utfyllende regler om behandlingsansvaret er gitt i utlendingsforskriften § 17-7 b.
Etter utlendingsforskriften § 17-7 b er Utlendingsdirektoratet (UDI), Utlendingsnemnda (UNE), politiet, Sysselmesteren på Svalbard og utenrikstjenesten (Utenriksdepartementet) hver for seg behandlingsansvarlig for behandling av personopplysninger for «egne formål», jf. første ledd. I tillegg er UDI behandlingsansvarlig for Utlendingsdatabasen.
Det er ikke gitt egne regler for behandlingsansvaret for personopplysninger som behandles etter Dublin III-forordningen, hvilket betyr at den generelle regelen i § 17-7 b vil komme til anvendelse. De enkelte aktørene er derfor behandlingsansvarlige for personopplysninger som behandles for egne formål.
8.5.2 Forslaget i høringsnotatet
Plasseringen av behandlingsansvaret for oppgaver etter AMMR og kriseforordningen ble ikke særskilt omtalt i høringsnotatet, men har kommet opp som en problemstilling i høringen.
8.5.3 Høringsinstansenes syn
Det er kun Politidirektoratet (POD) som har kommet med innspill til plasseringen av behandlingsansvaret for oppgaver etter AMMR og kriseforordningen. POD mener det bør komme klart frem i det videre lovarbeidet hvilke myndigheter som er behandlingsansvarlige for behandling av opplysninger til hvilke formål (oppgaver) etter AMMR og kriseforordningen. POD ønsker også at departementet klargjør forholdet mellom utlendingsforskriften § 17-7 b og § 18-5.
8.5.4 Departementets vurdering
Det følger av AMMR artikkel 72 nr. 1 at GDPR og LED kommer til anvendelse ved behandlingen av personopplysninger, jf. også fortalepunkt 81. Videre fremgår det av AMMR artikkel 72 nr. 2 at de enkelte medlemsstatene plikter å iverksette egnede tekniske og organisatoriske tiltak for å sikre at personopplysninger blir behandlet på en trygg måte. Medlemsstatene må også iverksette tiltak som skal forhindre uhjemlet eller uautorisert behandling av de aktuelle opplysningene. Dette er typisk oppgaver som tilligger den behandlingsansvarlige, jf. GDPR artikkel 24 nr. 1.
Kriseforordningen inneholder ingen tilsvarende henvisning til GDPR, noe som fører til uklarhet hva gjelder GDPRs rolle ved behandlingen av personopplysninger etter kriseforordningen. Departementet viser likevel til at artikkel 12 og 13 i kriseforordningen, som gjør unntak fra hovedreglene i AMMR, ikke legger opp til noe unntak fra plikten til å behandle personopplysninger i tråd med GDPR. Videre viser departementet til artikkel 1 nr. 2 i kriseforordningen, der det sies at midlertidige tiltak som vedtas i henhold til forordningen, skal være i tråd med grunnleggende forpliktelser i Den europeiske unions pakt om grunnleggende rettigheter. GDPR er hjemlet i artikkel 16 i traktaten om Den europeiske unions virkemåte, og har blant annet til formål å ivareta retten til personvern etter artikkel 8 i Den europeiske unions pakt om grunnleggende rettigheter. I fravær av holdepunkter for noe annet, mener departementet at GDPR må få generell anvendelse for personopplysninger som behandles etter kriseforordningen. Dette innebærer at enhver behandling av personopplysninger må skje i tråd med anvisningene i GDPR, hvilket betyr at den som er behandlingsansvarlig for behandlingen av de aktuelle opplysningene plikter å gjennomføre egnede tekniske og organisatoriske tiltak som skal ivareta de registrertes rettigheter i tråd med GDPR.
Hva gjelder plasseringen av behandlingsansvaret etter AMMR og kriseforordningen, gjør departementet oppmerksom på at det ikke finnes en særregulering i utlendingsloven for behandling av personopplysninger etter de to forordningene. Etter utlendingsloven § 83 a kan utlendingsmyndighetene behandle personopplysninger når det er nødvendig for å utøve myndighet eller utføre andre oppgaver etter loven her, jf. også utlendingsloven § 32, som gjør relevante deler av AMMR og kriseforordningen til norsk lov. Bestemmelsen er nærmere utdypet i utlendingsforskriften § 17-7 b, som oppstiller regler for plasseringen av behandlingsansvaret. Forskriftsbestemmelsen er en generell bestemmelse, som kommer til anvendelse i den grad det ikke foreligger særreguleringer (lex specialis). Etter utlendingsforskriften § 17-7 b første ledd, er UDI, UNE, politiet, Sysselmesteren på Svalbard og utenrikstjenesten hver for seg behandlingsansvarlig for behandling av personopplysninger for egne formål. Ordningen som skisseres i § 17-7 b første ledd vil med andre ord komme til anvendelse på utlendingsmyndighetenes behandling av personopplysninger etter AMMR og kriseforordningen. Dette er også tilfellet i dag hva gjelder Dublin III-forordningen, som nå erstattes av AMMR og kriseforordningen.
POD har i høringen bedt departementet avklare forholdet mellom utlendingsforskriften § 17-7 b og § 18-5. Bakgrunnen for innspillet er at AMMR vil kunne kreve at opplysninger behandles i Eurodac. Til dette vil departementet bemerke at enhver behandling som skjer i Eurodac vil følge behandlingsansvaret slik det er skissert i utlendingsforskriften § 18-5. I tilfeller der oppfyllelse av forpliktelser etter AMMR og kriseforordningen fordrer behandling av personopplysninger utenfor Eurodac, eksempelvis DubliNet, vil det generelle behandlingsansvaret i utlendingsforskriften § 17-7 b komme til anvendelse.
POD har også bedt departementet klargjøre hvilke myndigheter som er behandlingsansvarlig for behandling av opplysninger til hvilke formål (oppgaver) etter AMMR og kriseforordningen. Her kan etatene utarbeide en eventuell samhandlingsavtale der det fremgår hvilken aktør som skal ha ansvar for de ulike formålene og oppgavene i forordningene med tilhørende behandlingsansvar, jf. også drøftelsen i punkt 8.4.4 ovenfor om behandlingsansvar etter Eurodac-forordningen 2024.
8.6 Lagring og sletting av personopplysninger etter Eurodac-forordningen 2024
8.6.1 Gjeldende rett
Det er gitt flere regler om lagring og sletting av personopplysninger i gjeldende Eurodac-forordning 2013.
Etter artikkel 11 kan det opptas og lagres visse personopplysninger i Eurodac om personer som søker asyl. Etter artikkel 12 skal opplysninger som nevnt i artikkel 11 lagres i ti år. Ved utløpet av ti-årsperioden skal opplysningene automatisk slettes fra sentralsystemet.
For tredjelandsborgere eller statsløse som pågripes i forbindelse med ulovlig grensepassering skal det også opptas og lagres personopplysninger, jf. artikkel 14 og artikkel 15, som skal slettes etter 18 måneder.
8.6.2 Forslaget i høringsnotatet
I høringsnotatet foreslo departementet å gjennomføre Eurodac-forordningen 2024 innenfor rammen av det Norge er bundet av gjennom Dublin-samarbeidet. Selv om det ikke fremgikk klart av høringsnotatet, mente departementet implisitt at dette også gjaldt rettsaktens regler om lagring og sletting.
I høringsnotatet ga departementet også uttrykk for at Eurodac-forordningen 2024 følger vilkårene i GDPR, og at de nye reglene i Eurodac-forordningen 2024 er i samsvar med den registrertes rett til personvern.
8.6.3 Høringsinstansenes syn
Flere høringsinstanser har vist til at Eurodac-forordningen 2024 åpner for økt opptak og lagring av personopplysninger. Dette aktualiserer også spørsmål knyttet til sletting av de samme opplysningene, som enkelte instanser også har uttalt seg om.
Røde Kors trekker i sitt høringssvar frem at de savner en grundigere utredning av betydningen for grunnleggende rettigheter, og betydningen av endringene i praksis, særlig når det gjelder økt opptak og lagring av biometri og andre personopplysninger, økt lagringstid av personopplysninger for personer tatt i ulovlig grensepassering og personer uten lovlig opphold med videre. I likhet med Røde Kors, gir også MiRA-Senteret uttrykk for at de er kritiske til adgangen til økt opptak og lagring av biometri og at antallet personkategorier blir utvidet.
Røde Kors skriver i sitt høringssvar at organisasjonen er
«bekymret over utvidelsen av Eurodac fra en database som gir informasjon om asylsøkere i EU, til å bli en omfattende innvandringsdatabase, inkludert tilrettelegging for EUs returarbeid og identifisering av personer uten lovlig opphold. Vi mener utvidelsen av forordningen kan være problematisk ut ifra retten til privatliv og personvern.»
Datatilsynet mener at det bør tas inn en bestemmelse om lagringstiden for opplysninger i Eurodac i utlendingsloven eller -forskriften. Fra tilsynets høringsinnspill siteres:
«Kapittel X i Eurodac-forordningen av 2024 inneholder bestemmelser om datalagring, sletting av data før tiden og merking av data. I forordningens art. 29 nr. 1 – 9 er det oppstilt frister for sletting av opplysninger. Opplysningene skal slettes automatisk ved utløpet av lagringsperioden.
Datatilsynet mener det bør inntas en bestemmelse i utlendingsloven eller utlendingsforskriften om lagringstid/slettefrist for opplysninger i Eurodac. Vi viser til at det i SIS-loven er inntatt bestemmelser om sletting av opplysninger i Schengen informasjonssystem (SIS). Vi viser også til departementets forslag til regulering av Visuminformasjonssystemet (VIS) i høringsnotat av 7. juni 2023, der det ble foreslått å innta en bestemmelse om lagringstid i utlendingsforskriften § 18-8.»
Utlendingsdirektoratet (UDI) gir også uttrykk for at deler av Eurodac-forordningen 2024 bør framgå direkte av norsk lov eller forskrift, herunder regler om hvilke personopplysninger som skal opptas, lagres og slettes.
8.6.4 Departementets vurdering
Artikkel 29 nr. 1 til 9 i Eurodac-forordningen 2024 inneholder en rekke regler om lagring og frister for sletting av personopplysninger. I likhet med tidligere, åpner forordningen for at registrerte opplysninger om asylsøkere fortsatt kan lagres i inntil ti år, jf. artikkel 29 nr. 1. For de øvrige kategoriene er lagringstiden inntil fem år (med enkelte variasjoner), se artikkel 29 nr. 5 til 9. Det betyr at lagringstiden har økt for personer som er tatt i ulovlig grensepassering (tidligere inntil 18 måneder), og for personer uten lovlig opphold (tidligere ingen lagring av personopplysninger). Opplysningene skal slettes automatisk når lagringsfristen utgår, jf. artikkel 29 nr. 10. Biometriske opplysninger omhandlet i artikkel 18 nr. 1 skal ikke registreres, og derfor heller ikke lagres, i Eurodac, jf. artikkel 29 nr. 2.
Departementet har vurdert om slettefristene bør fremgå direkte av utlendingsloven eller -forskriften. Det er viktig at den registrerte får klar og tydelig informasjon om behandlingen av personopplysninger, og hvilke rettigheter vedkommende har etter Eurodac-forordningen 2024. Forordningens struktur, språkform og tekniske detaljnivå avviker fra det som er vanlig i norsk lovgivning og norsk lovgivningsteknikk, og kan derfor være krevende å få oversikt over. Departementet ser at det å ta inn en bestemmelse om lagringstiden for opplysninger i Eurodac direkte i utlendingsloven eller -forskriften, vil kunne bidra til å tydeliggjøre hvilke rettigheter den registrerte har og hvilke plikter utlendingsforvaltningen har etter rettsakten. Videre viser departementet til at UDI og Datatilsynet mener at regler om sletting bør fremgå direkte av nasjonal rett, herunder utlendingsloven og -forskriften.
Departementet er imidlertid generelt skeptisk til gjengivelse av forordningsbestemmelser av informasjonshensyn. Ved gjennomføringen av Eurodac-forordningen 2013 i norsk rett ble gjengivelsen av reglene om opptak, lagring, sletting, sperring, retting, innsyn og erstatning i §§ 18-6 til 18-10 opphevet, da dette oversiktlig fremgikk av Eurodac-forordningen selv. Departementet mente at denne opphevingen ga bedre samsvar med tilsvarende gjennomføring av EØS-relevante rettsakter. Ved å oppheve disse bestemmelsene ble også faren for å miste nyanser i regelverket mindre. Forordningen som sådan er bindende for Norge. De samme hensynene gjør seg gjeldende i dag som ved gjennomføringen av Eurodac-forordningen 2013. Departementet viser for øvrig til punkt 6.1, især begrunnelsen inntatt i punkt 6.1.4.
På denne bakgrunn mener departementet at det er tilstrekkelig at sletteplikten reguleres direkte i forordningen. Rettsakten gjelder som norsk lov, og departementet forutsetter at den nasjonale Eurodac-løsningen utvikles og vedlikeholdes på en slik måte at aktuelle opplysninger slettes automatisk når lagringsfristen går ut. Å eksplisitt regulere sletteplikten i utlendingsloven eller -forskriften vil kunne medføre en risiko for at nasjonal regulering og praksis avviker fra forordningens krav. Departementet viser også til at det er rettsaktenes ordlyd som uansett vil være bestemmende for hva som gjelder. Av denne grunn er det verken ønskelig eller hensiktsmessig med detaljerte lov- eller forskriftsbestemmelser som gjentar forordningen.
For en nærmere vurdering av adgangen til å slette biometriske opplysninger om overføringsflyktninger som ikke ankommer Norge etter innvilget tillatelse, vises det til drøftelsen i punkt 6.5.4.3.
8.7 Regulering av tilgang, ansvar og sikkerhetstiltak (personopplysningssikkerhet) i Eurodac-forordningen 2024
8.7.1 Gjeldende rett
Det fremgår av fortalepunkt 38 i gjeldende Eurodac-forordning 2013 at Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet) får anvendelse når medlemsstatene behandler personopplysninger i samsvar med Eurodac-forordningen. Personverndirektivet og personopplysningsloven fra 2000 er i dag opphevet, og erstattet av henholdsvis GDPR og den nye personopplysningsloven av 2018.
Eurodac-forordningen 2013 har regler om datasikkerhet i artikkel 34. Det fremgår her at oversendelsesstaten skal ivareta sikkerheten for opplysningene før og under oversendingen til sentralsystemet, jf. artikkel 34 nr. 1. Denne plikten er nærmere konkretisert i artikkel 34 nr. 2, som inneholder en lang liste over ulike tiltak som skal styrke personopplysningssikkerheten.
8.7.2 Forslaget i høringsnotatet
Departementet hadde ingen konkrete forslag knyttet til personopplysningssikkerheten i høringsnotatet. I høringsrunden har det imidlertid kommet innspill om tilgangsstyring, logging med videre.
8.7.3 Høringsinstansenes syn
Advokatforeningen anbefaler at departementet i forskrift presiserer krav til tilgangsstyring, logging og internkontroll for å sikre et høyt nivå av personvern og informasjonssikkerhet.
Utlendingsdirektoratet (UDI) understreket viktigheten av at den behandlingsansvarlige sikrer at behandlingen av personopplysninger skjer på en lovlig måte, og at tilgangsrettigheter til personopplysninger er sikre, slik at kun de med tjenstlig behov har tilgang.
I høringsrunden kom det også inn en merknad fra en privatperson. I innspillet understrekes behovet for rettssikkerhet, herunder effektive klagemekanismer og beskyttelse mot feilregistrering og misbruk av personopplysninger. Det ble pekt på at deling av informasjon med EU-organer må være underlagt nasjonal kontroll og gjennomsiktighet.
8.7.4 Departementets vurdering
Eurodac-forordningen 2024 inneholder i likhet med gjeldende Eurodac-forordning 2013 egne regler om datasikkerhet. Det fremgår av artikkel 48 nr. 1 i Eurodac-forordningen 2024 at opprinnelsesmedlemsstaten skal sørge for sikkerheten for opplysningene før og under oversendingen til Eurodac. Plikten er nærmere utpenslet i artikkel 48 nr. 2, som oppstiller flere organisatoriske og tekniske tiltak som skal ivareta personopplysningssikkerheten. Det oppstilles blant annet regler om tilgangsstyring i form av adgangskontroll, jf. artikkel 48 nr. 2 bokstav b, kontroll med datalagring, jf. artikkel 48 nr. 2 bokstav d, kontroll med brukere, jf. artikkel 48 nr. 2 bokstav e med videre.
Advokatforeningen har i høringen gitt uttrykk for at departementet bør presisere krav til organisatoriske og tekniske tiltak for å sikre et høyt nivå av personvern og informasjonssikkerhet. Til dette vil departementet bemerke at Eurodac-forordningen 2024 oppstiller, som illustrert i det forutgående avsnittet, flere tiltak som skal sikre et høyt nivå av personvern. Etter departementets syn må de enkelte virksomhetene, herunder UDI, UNE og politiet, i deres rolle som behandlingsansvarlige, gjennomføre egnede organisatoriske og tekniske tiltak i tråd med føringene i Eurodac-forordningen 2024 artikkel 48, jf. GDPR artikkel 24 nr. 1, jf. også GDPR artikkel 32. Departementet legger til grunn at virksomhetene har god erfaring med å implementere nødvendige tiltak for å sikre et tilfredsstillende nivå av personopplysningssikkerhet. Det er ikke hensiktsmessig å gi nærmere føringer for dette arbeidet i lov eller forskrift.
8.8 Hjemmel for forskriftsregler om behandling av personopplysninger i Eurodac
8.8.1 Gjeldende rett
Det fremgår av gjeldende utlendingslov § 101 annet ledd annet punktum at det kan gis regler i forskrift om «behandlingen av opplysningene» i Eurodac. Det er med hjemmel i denne bestemmelsen gitt regler om behandlingsansvaret i utlendingsforskriften § 18-5 og regler om klageadgang i § 18-11.
8.8.2 Forslaget i høringsnotatet
I høringsnotatet foreslo departementet å videreføre kompetansen til å gi bestemmelser i forskrift om behandling av opplysninger i Eurodac, jf. utlendingsloven § 101 annet ledd. Det ble også foreslått å tydeliggjøre at forskriftshjemmelen åpner for å gi regler om klageadgang.
8.8.3 Høringsinstansenes syn
Det er kun Datatilsynet som har kommentert forslaget om å videreføre kompetansen til å gi bestemmelser i forskrift om behandling av opplysninger i Eurodac, samt forslaget om å tydeliggjøre adgangen til å fastsette regler om klageadgang. Tilsynet støtter forslaget.
8.8.4 Departementets vurdering
Departementet opprettholder forslaget om å videreføre kompetansen til å gi bestemmelser i forskrift om behandling av opplysninger i Eurodac. Det samme gjelder forslaget om å tydeliggjøre adgangen til å fastsette regler om klageadgang.
Med Eurodac-forordningen 2024 vil det lagres personopplysninger om enkeltindivider, som både vil være tilgjengelige ved søk direkte i Eurodac, og også gjennom søk på tvers av de ulike EU-informasjonssystemene. Departementet mener at det kan være behov for å gi utfyllende eller presiserende regler om hvordan opplysningene skal behandles. Slike regler bør gis i forskrift for å hindre at utlendingsloven blir unødig omfattende.
Departementet har imidlertid valgt å justere forslaget til lovtekst noe sammenliknet med det som ble sendt på høring. Formålet med justeringen er å i enda større grad tydeliggjøre hva det kan gis forskrift om. Etter det justerte forslaget til lovtekst kan det gis forskrift om «behandling av opplysninger i Eurodac, herunder om behandlingsansvar, klageadgang og fremgangsmåte for behandling av klage». Eksemplene er inntatt av pedagogiske grunner og er ikke ment å være uttømmende, jf. «herunder».
Hva gjelder adgangen til å gi forskriftsregler om «klageadgang», bemerker departementet at gjeldende utlendingsforskrift § 18-11 fastsetter at den registrerte kan påklage avgjørelse om innsyn, retting, sletting og erstatning til departementet. Som nasjonal tilsynsmyndighet ligger det til Datatilsynet å føre tilsyn med behandlingen av personopplysninger i Eurodac. Dersom den registrerte mener at personopplysninger er blitt behandlet i strid med personvernregelverket, kan vedkommende sende en klage til tilsynet. Hvorvidt en eventuell klageadgang til departementet da bør oppheves eller begrenses til krav om erstatning alene, jf. gjeldende utlendingsforskrift § 18-11, er noe som departementet vil vurdere å se nærmere på.
Departementet ser uansett nå et behov for å gjøre en følgeendring i gjeldende utlendingsforskrift § 18-11 annet punktum. Etter gjeldende bestemmelse skal en klage på avgjørelse om innsyn, retting, sletting eller erstatning «fremsettes for Utlendingsdirektoratet, som oversender klagen til departementet for avgjørelse». Med Eurodac-forordningen 2024 utvides kretsen av hvem som anses som behandlingsansvarlig, se punkt 8.4.4. Dette innebærer et behov for en justering av hvem som skal anses som klageforberedende myndighet. Departementet mener at det vil være hensiktsmessig å fastsette at det er den behandlingsansvarlige som skal forberede klagen. Justeringen innebærer at det ikke er nødvendig å eksplisitt navngi den enkelte etat eller virksomhet i utlendingsforskriften § 18-11. Forslaget om å justere forskriftsbestemmelsen har ikke vært en del av den alminnelige, offentlige høringen. Høring kan likevel unnlates dersom den må anses som åpenbart unødvendig, jf. forvaltningsloven § 37 fjerde ledd bokstav c. Departementet mener at høring i dette tilfellet vil være åpenbart unødvendig, da det her er tale om en følgejustering av prosessuell og praktisk art, som er ment å sikre en hensiktsmessig klagebehandling.
8.9 Gjenbruk av innsamlede personopplysninger i utlendingssporet
8.9.1 Gjeldende rett
GDPR artikkel 5 nr. 1 bokstav b angir at personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål, og ikke viderebehandles på en måte som er uforenlig med disse formålene (formålsbegrensningsprinsippet). Prinsippet er likevel ikke til hinder for at personopplysninger brukes til et annet formål som er forenlig med det opprinnelige formålet, jf. artikkel 6 nr. 4.
Utlendingsmyndighetenes adgang til å behandle personopplysninger er nærmere regulert i utlendingsloven § 83 a. Etter tredje ledd kan det gis forskrift om adgangen til viderebehandling av personopplysninger; en slik forskriftsregel er gitt i utlendingsforskriften § 17-7 a annet ledd. Etter bestemmelsens annet punktum kan utlendingsmyndighetene viderebehandle personopplysninger, herunder også biometriske opplysninger, for forenlige formål. Hvorvidt et nytt formål er forenlig med det opprinnelige, må avgjøres etter en forenlighetsvurdering, jf. GDPR artikkel 6 nr. 4. Viderebehandlingen vil ikke kreve et særskilt hjemmelsgrunnlag i tilfeller der det nye formålet er forenlig med det opprinnelige formålet.
8.9.2 Forslaget i høringsnotatet
Gjenbruk av biometriske opplysninger var ikke omtalt i høringsnotatet. I høringsrunden har det imidlertid kommet inn merknader om adgangen til å gjenbruke biometriske opplysninger opptatt i forbindelse med kommisjonsreiser (saker om gjenbosetting), se punkt 6.5.2 og 6.5.4.3.
8.9.3 Høringsinstansenes syn
Politidirektoratet (POD) og Utlendingsdirektoratet (UDI) har i høringen gitt uttrykk for at departementet bør kommentere adgangen til å gjenbruke biometriske opplysninger tatt opp under kommisjonsreiser for å registrere disse i Eurodac.
I tillegg har POD, i etterkant av høringsrunden, bedt departementet om å avklare adgangen til å gjenbruke biometriske opplysninger som er tatt opp etter nasjonale formål, til etterfølgende registrering i Eurodac.
8.9.4 Departementets vurdering
Det finnes ingen særskilt hjemmel for gjenbruk av biometriske opplysninger tatt opp under kommisjonsreiser til etterfølgende registrering i Eurodac, hvilket betyr at man må falle tilbake på den generelle regelen i utlendingsforskriften § 17-7 a annet ledd, som blant annet åpner for viderebehandling for forenlige formål, jf. annet punktum. Etter departementets syn er det flere forhold som tydelig taler for at etterfølgende registrering i Eurodac vil være å anse som en viderebehandling til et forenlig formål. Departementet viser til at det er en nær forbindelse mellom opptak av biometriske opplysninger i kommisjonsreiser og etterfølgende registrering i Eurodac, all den tid registreringen i Eurodac skjer som en direkte konsekvens av at kvoteflyktningen blir gjenbosatt i Norge. Det vises for øvrig til fortalepunkt 14 i Eurodac-forordningen 2024, som etter departementets syn oppfordrer medlemsstatene til å gjenbruke biometriske opplysninger. På denne bakgrunn mener departementet at det etter utlendingsforskriften § 17-7 a annet ledd annet punktum er adgang til å gjenbruke biometriske opplysninger fra kommisjonsreiser til etterfølgende registrering i Eurodac. Etter departementets syn er det også adgang til å gjenbruke biometriske opplysninger til dette formålet etter utlendingsforskriften § 17-7 a annet ledd første punktum, da sakene har en forbindelse og registrering i Eurodac er nødvendig av kontrollhensyn.
Hva gjelder adgangen til å gjenbruke biometriske opplysninger tatt opp til nasjonale formål etter utlendingsloven § 100, til etterfølgende registrering i Eurodac, jf. § 101, må det også her ses hen til utlendingsforskriften § 17-7 a annet ledd annet punktum. Departementet mener at det er en nær sammenheng mellom opptak av biometri til nasjonale formål og etterfølgende registrering i Eurodac, og at viderebehandlingen derfor skjer til et forenlig formål. Departementet viser her til at formålet med biometriopptak etter utlendingsloven § 100 er å identifisere og verifisere identiteten til utlendingen, blant annet i saker om beskyttelse (asyl), jf. utlendingsforskriften § 18-1 første ledd bokstav a. Eurodac skal på sin side understøtte asylsystemet, hvilket fordrer behandling av biometriske opplysninger i registeret. Departementet viser også her til fortalepunkt 14 i Eurodac-forordningen 2024, som oppfordrer medlemsstatene til å gjenbruke biometriske opplysninger. Videre mener departementet at etterfølgende registrering i Eurodac også oppfyller vilkårene i utlendingsforskriften § 17-7 a annet ledd første punktum. Gjenbruk av biometriske opplysninger til etterfølgende registrering i Eurodac er etter departementets syn nødvendig av kontrollhensyn. Som illustrert foran, er det også en nær sammenheng mellom de to formålene, med den følge at sakene har en forbindelse.
Selv om det etter gjeldende rett er adgang til å gjenbruke biometriske opplysninger som er blitt innhentet i forbindelse med kommisjonsreiser og til nasjonale formål, til etterfølgende registrering i Eurodac, har departementet vurdert om det av mer pedagogiske hensyn likevel bør presiseres uttrykkelig i utlendingsforskriften. En slik bestemmelse ble funnet hensiktsmessig når det gjelder adgangen til å gjenbruke biometriske opplysninger til registrering i SIS, se utlendingsloven § 100 fjerde ledd og Prop. 226 L (2020–2021), især punkt 7.2. Behovet for slike presiseringer må imidlertid vurderes konkret, blant annet for å unngå at regelverket blir unødig omfattende.
På det nåværende tidspunkt mener departementet at det ikke er behov for en tydeliggjøring i loven eller forskriften når det gjelder adgangen til å gjenbruke biometriske opplysninger i Eurodac. Utlendingsforskriften § 17-7 a annet ledd annet punktum er en klart tilstrekkelig hjemmel for gjenbruk til registrering i Eurodac.
8.10 Deling av helseopplysninger i forbindelse med overføring etter AMMR
8.10.1 Gjeldende rett
Etter gjeldende Dublin III-forordning skal den overførende medlemsstat, i den utstrekning slike opplysninger er tilgjengelige for den kompetente myndighet, oversende til den ansvarlige medlemsstat opplysninger om eventuelle særlige behov som den aktuelle utlendingen har, herunder opplysninger knyttet til vedkommendes fysiske eller psykiske helse, jf. artikkel 32 nr. 1.
Det fremgår av artikkel 32 nr. 2 at overføringen av helseopplysningene må basere seg på søkerens, eventuelt dennes representants, uttrykkelige samtykke. I tilfeller der søkeren er fysisk eller rettslig ute av stand til å avgi slikt samtykke, skal opplysningene kun oversendes dersom dette er nødvendig for å beskytte søkerens eller en annen persons vitale interesser. Manglende samtykke er likevel ikke til hinder for overføringen av utlendingen til ansvarlig medlemsstat.
Enhver oversendelse av helseopplysninger må skje i tråd med nasjonal rett. De nasjonale rammene for deling av slike opplysninger følger av utlendingsloven, forvaltningsloven, politiregisterloven og helsepersonelloven.
Utlendingsloven § 98 annet ledd fastsetter at utlendingsmyndighetene skal oversende taushetsbelagte opplysninger om enkeltindivider til myndigheter i land som deltar i Dublin-samarbeidet, som ledd i eller til bruk ved behandlingen av saker om blant annet beskyttelse, jf. kapittel 4 i utlendingsloven, jf. også utlendingsloven § 32 fjerde ledd. Taushetsplikten er for øvrig ikke til hinder for utlevering av opplysninger dersom den opplysningene handler om samtykker til utleveringen, jf. forvaltningsloven § 13 a nr. 1, jf. også helsepersonelloven § 22 første ledd. Det samme gjelder for andre som har krav på taushet om de samme opplysningene.
Deling av helseopplysninger har også en side til reglene om behandling av personopplysninger etter GDPR. For at en behandling av personopplysninger skal være lovlig, jf. GDPR artikkel 5 nr. 1 bokstav a, må den ha en hjemmel, jf. GDPR artikkel 6 nr. 1. I Prop. 79 L (2024–2025) punkt 12.5.1.2 på side 175 flg. har departementet omtalt forholdet mellom unntak fra taushetsplikt etter forvaltningsloven og personvernregelverket. Øverst på side 176 fremgår det at
«Departementet har i alminnelighet lagt til grunn at bestemmelser som gir forvaltningen adgang til å dele taushetsbelagte opplysninger etter omstendighetene også kan utgjøre en tilstrekkelig hjemmel etter personvernregelverket for å behandle personopplysninger til et nytt og uforenlig formål. Videre har departementet lagt til grunn at det i utgangspunktet er nærliggende å anta at slike bestemmelser også vil kunne gi tilstrekkelig grunnlag for å dele personopplysninger som ikke er taushetsbelagte, til nye formål.»
8.10.2 Forslaget i høringsnotatet
I høringsnotatet uttalte departementet at AMMR inneholder nærmere bestemmelser for deling av opplysninger mellom involverte aktører, herunder helseopplysninger. Departementet kommenterte ikke disse bestemmelsene nærmere i notatet.
8.10.3 Høringsinstansenes syn
Politiets utlendingsenhet (PU) har basert på enkelte erfaringer gitt uttrykk for at det kan være hensiktsmessig å se på de rettslige rammene for utlevering av helseopplysninger i forbindelse med overføring etter AMMR.
8.10.4 Departementets vurdering
AMMR artikkel 50 regulerer utveksling av helseopplysninger i forbindelse med overføring. Det fremgår av bestemmelsen at det skal utleveres helseopplysninger til relevante aktører, men at delingen av opplysningene må skje i tråd med nasjonalt regelverk, jf. artikkel 50 nr. 1.
Departementet bemerker i denne sammenheng at utlendingsloven § 98 annet ledd gir hjemmel til å dele opplysninger med myndighetene i land som deltar i Dublin-samarbeidet etter nærmere angitte vilkår. Bestemmelsen vil også gjelde for AMMR, og vil med det gi norske utlendingsmyndigheter, herunder politiet, adgang til å dele helseopplysninger med ansvarlig medlemsstat i tråd med AMMR artikkel 50.
Departementet kan på det nåværende tidspunkt ikke se at det er behov for å gjøre endringer i det nasjonale regelverket hva gjelder deling av helseopplysninger i forbindelse med overføring etter AMMR.