Høringssvar vedr. lovforslag om ændring af PET-loven (Ændring af PET's opgaver i forhold til den alvorligste organiserede kriminalitet og PET’s forpligtelse til sletning af oplysninger)
Høringsmaterialet kan ses her
http://hoeringsportalen.dk/Hearing/Details/59846
IT-Politisk Forening har bemærkninger til ændringen af PET's opgaver vedrørende den alvorligste organiserede kriminalitet (del 1) og slettereglerne for PET's behandling af personoplysninger (del 2).
Del 1: Ændring af PET's opgaver vedrørende den alvorligste organiserede kriminalitet
Justitsministeriet foreslår, at § 1, stk. 1, nr. 2 i PET-loven ophæves. Det indebærer at PET's opgaver vedrørende den alvorligste organiserede kriminalitet føres tilbage til Rigspolitiet. PET kan dog fortsat yde bistand til det almindelige politi i forhold til den organiserede kriminalitet, jf. PET-lovens § 1, stk. 1, nr. 4.
Ifølge bemærkningerne til § 1, nr. 1 og 2 i lovforslaget vil PET fortsat kunne behandle personoplysninger, herunder indsamle oplysninger, føre kilder og foretage analyser af den alvorligste organiserede kriminalitet som led i PET’s bistand til det almindelige politi. IT-Politisk Forening forstår dette som, at PET fortsat kan indsamle oplysninger vedrørende den alvorligste organiserede kriminalitet med hjemmel i PET-lovens § 3, hvor kriteriet er, at oplysninger kan indsamles, medmindre det på forhånd kan udelukkes, at de er relevante for tjenestens arbejde (en lavere tærskel end ”er nødvendig” i persondatalovens §§ 6-8). Derudover forstår vi bemærkningerne som, at PET-lovens bestemmelser om sletning (hvor PET's forpligtelser begrænses i betydeligt omgang med nærværende lovforslag), og ikke persondatareglerne for det almindelige politi, vil være gældende for de oplysninger, som PET indsamler vedrørende den alvorligste organiserede kriminalitet.
IT-Politisk Forening er generelt bekymret for den retspolitiske glidebane hvorved særlige beføjelser for at bekæmpe terror og øvrige trusler mod den nationale sikkerhed senere overføres til andre områder, eksempelvis organiseret kriminalitet. På den baggrund finder vi det positivt, at PET's opgaver vedrørende den alvorligste organiserede kriminalitet overføres til Rigspolitiet. Vi vil i den forbindelse opfordre til, at PET's muligheder for selvstændig dataindsamling præciseres, når ansvaret for opgaverne kommer til at ligge hos Rigspolitiet. PET's særlige beføjelser i forhold til det almindelige politi knytter sig især til dataindsamling.
Vi ser også klare fordele i forhold til den kommende implementering af retshåndhævelsesdirektivet (EU) 2016/680 i dansk ret på mellemstatslig basis (under forudsætning af at Folketinget som forventet tiltræder dette ved andenbehandlingen af beslutningsforslag B 3 den 25. oktober 2016). I dag er persondatadirektivet 95/46/EF ikke bindende for Danmark i forhold til behandling af personoplysninger på det politi- og strafferetslige område (Danmark har dog valgt at lade persondataloven være gældende for domstolene og det almindelige politi med visse generelle undtagelser for den registreredes rettigheder).
Retshåndhævelsesdirektivet har derimod kun en undtagelse i forhold til behandling af personoplysninger vedrørende statens sikkerhed, som falder uden for EU-rettens anvendelsesområde, jf. betragtning 14 i retshåndhævelsesdirektivet. I forhold til den kommende implementering af direktivet i dansk ret vil det efter IT-Politisk Forenings opfattelse være hensigtsmæssigt, hvis PET alene beskæftiger sig med opgaver vedrørende statens sikkerhed (straffelovens kapitel 12 og 13). Hvis PET har andre opgaver end statens sikkerhed, og selvstændigt (som dataansvarlig) kan behandle personoplysninger i forbindelse med disse opgaver, kan der opstå retslig usikkerhed om, hvorvidt retshåndhævelsesdirektivet også skal gælde for dele af PETs arbejde.
Hvis PET med lovforslaget fortsat selvstændigt kan indsamle personoplysninger vedrørende organiseret kriminalitet, vil der formentlig være en grænsedragningsproblematik i forhold til visse af PET's opgaver, når retshåndhævelsesdirektivet skal gennemføres i dansk ret i 2017-18 samlingen. Den problemstilling er selvfølgelig ikke direkte relevant for nærværende lovforslag, men det kunne være ønskeligt, at lovforslagets grænsedragning mellem PET og det almindelige politi er ”fremtidssikret” i forhold til det betydelige arbejde, som Folketinget vil få i næste folketingsår med at gennemføre EU's omfattende reform af persondatabeskyttelsen i dansk ret.
Del 2: Lovændring vedrørende PET's sletning af oplysninger
I Årsredegørelse 2015 rejste Tilsynet for Efterretningstjenesterne (TET) kritik af PET på to punkter. For det første skal PET-lovens §§ 7-8 efter TET's opfattelse fortolkes således, at PET skal foretage en løbende gennemgang (”styret dynamisk revision”) af PET's databaser med henblik på at sikre, at oplysningerne slettes når de ikke længere er nødvendige for varetagelsen af tjenestens opgaver, jf. principperne i persondatalovens § 5, stk. 5. For det andet udtalte TET, at PET er forpligtet til at slette oplysninger som ikke længere er nødvendige for varetagelsen af tjenestens opgaver, uanset om oplysningerne indgår i dokumenter, hvis øvrige oplysninger fortsat er nødvendige for PET's arbejde.
Efter PET's opfattelse vil det være meget ressourcekrævende at efterleve disse krav. Det gælder både den løbende gennemgang for at overholde princippet i persondatalovens § 5, stk. 5 om at indsamlede oplysninger ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles, og sletning af oplysninger på oplysningsniveau i andre dokumenter. Ifølge pkt. 3.3.2 i nærværende lovforslags bemærkninger er PET's IT-systemer åbenbart indrettet således, at kun sletning på dokument- og sagsniveau er direkte understøttet, mens sletning på oplysningsniveau i andre dokumenter kræver manuelle behandlinger.
Justitsministeriet foreslår derfor en ny paragraf i PET-loven (§ 9 a), som i stk. 1 fastsætter at PET ikke har nogen pligt til løbende gennemgang af de registrerede oplysninger, og at PET kun skal slette sager og dokumenter som ikke længere er nødvendige, hvis tjenesten bliver opmærksom på disse sager og dokumenter i forbindelse med sine aktiviteter. Derudover fastsætter § 9 a, stk. 2, at PET uanset bestemmelserne i §§ 7-9 ikke er forpligtet til at slette oplysninger, som ikke længere opfylder betingelserne i § 7, stk. 2 og § 8, stk. 2 (dvs. ikke længere er nødvendige for tjenestens opgavevaretagelse), hvis disse oplysninger indgår i andre dokumenter.
Begrænsningen af sletteforpligtelsen i § 9 a, stk. 2 når personoplysningen indgår i andre dokumenter omfatter ikke alene sletning af oplysninger som ikke længere er nødvendige jf. §§ 7-8, men også den absolutte slettefrist på 15 år i § 9, stk. 1 (idet der henvises til PET-lovens §§ 7-9). Under den gældende PET-lov kan den absolutte slettefrist på 15 år kun fraviges, hvis væsentlige hensyn taler herfor, jf. PET-lovens § 9, stk. 2. Under den nye § 9 a, stk. 2 er det tilstrækkeligt at personoplysningen er overført til et dokument, som fortsat er nødvendig for varetagelsen af PET's opgaver. Hvis oplysninger løbende kopieres (overføres) til nye dokumenter, kan borgere i princippet være registreret hos PET i nærmest uendelig tid.
Undtagelsen i § 9 a, stk. 2 om at PET kan undlade at slette oplysninger der indgår i andre dokumenter gælder dog ikke, hvis en fysisk eller juridisk person anmoder TET om at undersøge, om PET uberettiget behandler oplysninger om den pågældende, og hvis TET i forbindelse med denne undersøgelse efter PET-lovens § 13, stk. 1 konstaterer, at PET behandler oplysninger som ikke længere opfylder nødvendighedskravene i §§ 7-8.
Generelle bemærkninger fra IT-Politisk Forening om de foreslåede sletteregler
Tilsynet med Efterretningstjenesterne (TET) udgør en meget vigtig funktion i forhold til at sikre befolkningens tillid til det arbejde, som PET udfører for at beskytte den nationale sikkerhed. PET's arbejde foregår almindeligvis i dybeste hemmelighed, og borgerne kan ikke vide, om PET behandler oplysninger om dem eller videregiver disse oplysninger til myndigheder i andre lande (hvilket kan have vidtgående konsekvenser for borgerne, når de eksempelvis rejser til disse lande).
Når TET, som det er tilfældet med Årsredegørelse 2015, konstaterer, at PET behandler personoplysninger i strid med PET-loven, bør svaret fra PET være, at disse forhold hurtigst muligt bringes i overensstemmelse med loven. Det er undergravende for den uafhængige tilsynsmyndigheds arbejde og position i forhold til PET, hvis Justitsministeriet i stedet foreslår en lovændring, således at PET's eksisterende praksis kan fortsætte fuldstændigt uændret, nu blot i lovlig form.
Udover denne mere principielle bemærkning om forholdet mellem PET og den uafhængige tilsynsmyndighed, har IT-Politisk Forening i det følgende også en række konkrete bemærkninger til den foreslåede § 9 a i PET-loven.
Problemstillinger omkring masseindsamling af oplysninger og regler for sletning
PET-lovens §§ 3-4 har meget vide rammer for indsamling af personoplysninger. Det gælder både både oplysninger om enkeltpersoner, som indsamles ved målrettet efterretningsvirksomhed i forhold til personer, som der måske er en vis mistanke mod, og masseindsamling om større grupper af personer (”masseovervågning”). Eksempler på sidstnævnte kan være indsamling af personoplysninger fra sociale medier eller andre åbne kilder på internettet efter PET-lovens § 3, indhentning af personoplysninger fra andre forvaltningsmuligheder efter PET-lovens § 4, stk. 1 hvor indhentning om større grupper af personer er mulig, og indhentning af PNR-oplysninger (flypassagerlister) fra Told- og skatteforvaltningen, jf. den nye bestemmelse i PET-lovens § 4, stk. 2 (som endnu ikke er trådt i kraft).
Hvis PET indsamler oplysninger ved sådanne former for masseovervågning, vil PET modtage oplysninger om en potentielt meget stor gruppe personer, hvoraf hovedparten formentlig ikke har nogen relevans for PET's varetagelse af opgaver vedrørende forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13. Hvis PET foretager en løbende gennemgang af de indsamlede oplysninger, som TET mener at PET er forpligtet til efter den gældende PET-lov, kan man håbe, at de mange fuldstændigt irrelevante oplysninger hurtigt bliver slettet, og at omfanget af indgrebet i borgernes ret til privatliv dermed begrænses.
I forbindelse med Folketingets behandling af lovforslag L 23 af 7. oktober 2015 (”PNR-loven”) blev Justitsministeren spurgt, om ministeren ikke kunne se en eneste retssikkerhedsmæssig betænkelighed ved forslaget (L 23, spørgsmål nr. 19). I besvarelsen af spørgsmål 19, for mindre end et år siden, henviste Justitsministeren direkte til princippet i persondatalovens § 5, stk. 5 om at de indsamlede PNR-oplysninger ikke må opbevares længere end det, som er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Den foreslåede § 9 a fjerner imidlertid denne retssikkerhedsmæssige garanti.
I PNR-lovens bemærkninger pkt. 4.4.7 står der endvidere:
Det forudsættes, at PET – hvor der er tale om, at tjenesten i medfør af den foreslåede ordning modtager oplysninger om en række personer, som vil kunne vise sig ikke at have relevans for tjenesten – inden for en rimelig tid træffer afgørelse om, hvorvidt de oplysninger, som tjenesten har modtaget, har relevans for tjenesten, dvs. at betingelserne i PET-lovens § 7 for PETs interne behandling af oplysningerne er opfyldt. I forbindelse med denne relevansvurdering vil PET kunne sammenholde de indsamlede oplysninger med andre oplysninger med henblik på at identificere de oplysninger, som PET i overensstemmelse med PET-lovens § 7 herefter vil kunne behandle internt.
Hvis relevansvurderingen viser, at oplysningerne ikke er relevante, skal oplysningerne vedrørende de pågældende slettes eller anonymiseres, jf. herved PET-lovens § 7, stk. 1, som bl.a. indebærer, at PET ikke må opbevare personoplysninger i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Det er uklart for IT-Politisk Forening, om den nye § 9 a, stk. 1 i PET-loven også ændrer ved sletteforpligtelsen i pkt. 4.4.7 i PNR-lovens bemærkninger, hvor det forudsættes at PET inden for rimelig tid træffer afgørelse om hvorvidt de modtagne PNR-oplysninger er relevante. En tilsvarende forudsætning fremgår af bemærkningerne til PET-lovens § 4, stk. 1, hvis PET fra andre forvaltningsmyndigheder modtager oplysninger om en kreds af personer.
Såfremt § 9 a, stk. 1 skal fortolkes på den måde, at der ved masseindhentning fortsat er en lovbestemt forpligtelse til at foretage i en indledende og eventuelt også løbende vurdering af, om de indsamlede oplysninger har relevans for PET, skal IT-Politisk Forening opfordre til, at dette eksplicit bliver præciseret i § 9 a, stk. 1 eller i det mindste i lovforslagets bemærkninger. I den nuværende form kan bemærkningerne til § 9 a, stk. 1 nemlig læses på en sådan måde, at PET ikke har andre formelle forpligtelser end sletning efter udløbet af slettefristen i § 9, stk. 1 (efter 15 år).
Hvis de modtagne PNR-oplysninger om for eksempelvis en bestemt flyrute udgør et samlet ”dokument”, er der også en mulig konflikt mellem den foreslåede § 9, stk. 2 (ingen pligt til sletning af personoplysninger der indgår i dokumenter, som fortsat skal bruges) og forudsætningen i pkt. 4.4.7 i PNR-lovens bemærkninger om at slette irrelevante oplysninger. Også på dette punkt er der behov for en præcisering i lovforslaget eller dets bemærkninger. Denne præcisering bør ske i selve PET-loven, som den vedtages af Folketinget, og ikke i en efterfølgende bekendtgørelse udstedt i medfør af den foreslåede § 9 a, stk. 3.
IT-Politisk Forening har noteret (jf. bemærkningerne pkt. 3.4.4 i lovforslaget), at Justitsministeren i en bekendtgørelse udstedt i medfør af den foreslåede § 9 a, stk. 3 kan fastsætte yderligere sletteforpligtelser for PET, når tjenesten indhenter oplysninger om alle personer, der inden for et givent tidspunkt har rettet henvendelse til en given offentlig myndighed – eller andre grupper af personer, som på tilsvarende måde ikke på forhånd er identificeret.
En bekendtgørelse inden for rammerne af § 9 a, stk. 3 kan formentlig adressere de særlige bekymringer, som vi har givet udtryk for ovenfor i forbindelse med indhentning af oplysninger om større grupper af personer. Af principielle årsager mener vi imidlertid, at disse sletteforpligtelser ved masseindhentning (svarende til hvad der generelt er gældende i dag efter PET-lovens §§ 7-8) skal fremgå direkte af PET-loven, og at det ikke skal være afhængig af hvilke bekendtgørelser Justitsministeren efterfølgende vælger at udstede.
Det er retspolitisk betænkeligt at Folketinget foretager en generel begrænsning af PET's sletteforpligtelser for derefter at overlade det til Justitsministeren at bestemme, at de ”gamle” regler eventuelt fortsat kan komme til at gælde på udvalgte områder.
PET-tilsynets arbejde får større betydning for borgerne
Når PET ikke er forpligtet til at foretage en regelmæssig systematisk gennemgang af, om de indsamlede oplysninger fortsat er relevante for tjenestens opgavevaretagelse, bliver registreringen af borgerne mere arbitrær, fordi omfanget af registreringen om den enkelte borger i mange tilfælde kan være afhængig af, om PET i forbindelse med andre aktiviteter har foretaget en vurdering af bestemte sager. Derudover bliver borgerne mere afhængige af TET's arbejde, idet PET's medvirken til tilsynets gennemgang af udvalgte sager er en af de aktiviteter, som kan føre til sletning af oplysninger, fordi de ikke længere er nødvendige for tjenestens opgavevaretagelse.
Hvis Justitsministeriet med lovforslaget har til hensigt at overføre arbejdet med den løbende gennemgang af de eksisterende sager fra PET til TET (for at slette oplysninger der ikke længere er nødvendige), bør der samtidig ske en tilførsel af ressourcer til TET, således at TET reelt kan løfte denne opgave.
Lovforslaget vil også skabe et incitament til, at borgerne indgiver langt flere henvendelser til TET under den indirekte tilsynsordning i PET-lovens § 13. Hvis personoplysninger, som ikke længere er nødvendige, indgår i andre dokumenter, kan borgerne kun få disse oplysninger slettet hos PET, hvis der indgives en anmodning til TET under den indirekte indsigtsordning. I alle andre situationer, herunder TET's gennemgang af sager af egen drift, vil der ikke ske sletning af personoplysninger som indgår i andre dokumenter.
Hvis borgerne eksempelvis en gang om året rutinemæssigt indsender en anmodning til TET under den indirekte indsigtsordning, vil de få en større ret til privatliv i forhold til staten (PET). Modsat hvad der er gældende i dag, er visse rettigheder til sletning kun til rådighed for borgeren, hvis den indirekte indsigtsordning bruges. Det kræver ikke meget fantasi for at forestille sig, at det vil skabe en kraftig vækst i antallet af anmodninger til TET under den indirekte indsigtsordning.
Ifølge Årsredegørelse 2015 for PET modtog TET blot 10 henvendelser vedrørende PET under den indirekte indsigtsordning i 2015, men det må forventes at borgerne bliver mere opmærksomme på PET's indsamling af oplysninger, når PNR-loven sættes i kraft, og når der har været en passende mediedækning af PET's overvågning af sociale medier med henblik på at indsamle oplysninger om ekstremisme og radikalisering. Begge initiativer vil føre til en betydelig stigning i antallet af borgere, som får deres personoplysninger indsamlet hos PET, med deraf følgende ”ophobning” af information om enkeltpersoner i tjenestens arkiver til følge. Denne ophobning bliver alt andet lige meget større, hvis der, som med nærværende lovforslags § 9 a, indføres begrænsninger i PET's forpligtelse til at slette irrelevante oplysninger og oplysninger, som ikke længere er nødvendige.
Forhold til EMRK artikel 8
Lovforslaget omtaler ikke forholdet til den Europæiske Menneskerettighedskonvention (EMRK), men det punkt er berørt i bemærkningerne til PET-loven (L 161, fremsat 27. februar 2013). PET's beføjelser til indsamling og behandling af personoplysninger må anses for at være et indgreb i retten til privatliv efter EMRK artikel 8. Efter Justitsministeriets vurdering i bemærkningerne til PET-loven er dette indgreb i overensstemmelse med EMRK artikel 8, stk. 2, fordi det er nødvendigt i et demokratisk samfund af hensyn til den nationale sikkerhed, og fordi indgrebet lever op til kravene om forudsigelighed, nødvendighed og proportionalitet.
Både indsamling af oplysningerne om borgerne og den løbende opbevaring og behandling må anses for at være indgreb i retten til privatliv. En konsekvens af lovforslaget er, at der generelt vil blive opbevaret oplysninger om borgerne hos PET i længere tid, fordi kravet om løbende gennemgang (som TET mener fremgår af den nuværende PET-lov) ophæves, og fordi oplysninger som ikke længere er nødvendige ikke vil blive slettet, hvis de indgår i andre dokumenter. Begge ændringer begrundes i lovforslagets bemærkninger alene med økonomiske hensyn.
Efter retspraksis fra den Europæiske Menneskerettighedsdomstol (EMD) skal indgreb i retten til privatliv begrænses til det som er (strengt) nødvendigt for at forfølge legitime formål i et demokratisk samfund, for eksempel den nationale sikkerhed. Som en konsekvens af nærværende lovforslag kommer PET til at behandle oplysninger, som på ingen måde er nødvendige, og det sker alene af økonomiske årsager eller på grund af fejldesignede IT-systemer (et IT-system som ikke tillader sletning på oplysningsniveau som en del af andre dokumenter må anses for at være fejldesignet, da systemets design gør det uforholdsmæssigt vanskeligt at beskytte borgernes grundlæggende ret til privatliv).
Medmindre omfanget af denne opbevaring af unødvendige oplysninger om borgerne er beskedent, hvilket Justitsministeriet i lovforslagets bemærkninger på ingen måde har godtgjort, kan der med rimelighed stilles spørgsmålstegn ved, om indgrebet i borgernes ret til privatliv stadig er begrænset til det som er (strengt) nødvendigt af hensyn til eksempelvis den nationale sikkerhed.
IT-Politisk Forening vil derfor opfordre til, at Justitsministeriet genovervejer PET-lovens forhold til EMRK (specielt artikel 8) inden lovforslaget fremsættes i Folketinget.