IT-Politisk Forenings høringssvar vedrørende lovudkastet er opdelt i to hovedafsnit. Hovedafsnit A omfatter FE's adgang til PNR-oplysninger (oplysninger om flypassagerer), mens hovedafsnit B er om ændringen af FE's forpligtelse til sletning af oplysninger.

A. FE's adgang til PNR-oplysninger

Lovforslaget giver via en ændring af FE-loven og toldloven mulighed for, at Forsvarets Efterretningstjeneste (FE) kan indhente PNR-oplysninger hos SKAT, der står for modtagelse af PNR-oplysninger fra luftfartsselskaber i det danske PNR-system. Derudover ændres toldlovens § 17, stk. 4 således at luftfartsselskabernes forpligtelse til at videregive PNR-oplysninger til SKAT udvides til også at omfatte brug af PNR-oplysninger for FE's virksomhed rettet mod forhold i udlandet. Det kan potentielt føre til indsamling af flere PNR-oplysninger hos SKAT, hvis FE's ønsker om at medtage flyruter i det danske PNR-system ikke overlapper med de eksisterende formål om udøvelse af toldkontrol og PET's opgaver med forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13.

Motivationen for lovforslaget er at der tidligere har eksisteret et uformelt samarbejde mellem SKAT og FE om videregivelse af PNR-oplysninger fra SKAT til FE, men at dette samarbejde er ophørt på grund af manglende hjemmelsgrundlag. Ifølge et brev fra Forsvarsministeren til Forsvarsudvalget af 13. maj 2016 har der været tale om modtagelse af oplysninger fra SKAT i meget begrænset omfang.

I den eksisterende lovgivning om det danske PNR-system kan PET efter PET lovens § 10, stk. 1 videregive oplysninger til FE, hvis videregivelsen kan have betydning for varetagelsen af tjenesternes opgaver. Kriteriet for videregivelse er det samme som i PET-lovens § 3 og FE-lovens § 3, stk. 1 (”medmindre det på forhånd kan udelukkes at oplysningerne er relevante”). Det forudsætter selvfølgelig, at PET har indhentet oplysningerne i forbindelse med tjenestens opgaver vedrørende straffelovens kapitel 12 og 13.

I den forbindelse er det også værd at erindre, at det danske PNR-system kun omfatter flyvninger til og fra danske lufthavne, og at PET har ansvaret for rigets indre sikkerhed. Ifølge bemærkningerne søger lovforslaget ikke at ændre på arbejdsdelingen mellem FE og PET, uagtet at FE generelt må antages at have en videre adgang end PET til at indhente og behandle (herunder især videregive) personoplysninger om borgere, som ikke er en i Danmark hjemmehørende fysisk person, jf. definitionen af dette begreb i FE-lovens § 3, stk. 2. Af sproglige hensyn kaldes disse borgere ”danske personer” i dette høringssvar, idet det løbende er relevant at skelne mellem danske statsborgere og danske personer (i Danmark hjemmehørende personer).

På baggrund af FE's begrænsede behov for adgang til PNR-oplysninger, og den allerede eksisterende mulighed for at PET kan videregive PNR-oplysninger til FE, undrer det IT-Politisk Forening, at Forsvarsministeriet med nærværende lovforslag ønsker at give FE en selvstændig og meget bred adgang til PNR-oplysninger indsamlet af SKAT.

Efter lovforslaget kan FE indhente PNR-oplysninger til alle formål som er rettet mod forhold i udlandet, hvis oplysningerne vedrører personer som ikke er danske statsborgere. Der kan sågar indhentes oplysninger om udenlandske borgere, som ikke på nogen måde kan antages at have en forbindelse med trusler rettet mod Danmark eller danske interesser, men hvor der alene er tale om personer der måske er relevante for Danmarks udenrigspolitik (for eksempel rejsemønstre og medrejsende for embedsmænd og politikere i fremmede stater), eller som kan have en operativ interesse for FE i forbindelse med tjenestens forsøg på kilderekruttering. Det er i sig selv meget vidtgående, idet statens indsamling og adgang til PNR-oplysninger udgør et indgreb i den grundlæggende ret til privatliv og persondatabeskyttelse.

Som IT-Politisk Forening vil redegøre for i det følgende afsnit, er lovforslaget i dets nuværende form i strid med Charter om Grundlæggende Rettigheder (Charteret). Det skyldes at lovforslaget indebærer et indgreb i rettigheder og friheder sikret af Charteret, som ikke respekterer det væsentligste indhold af disse rettigheder og friheder.

Derudover er vi generelt ikke enig i Forsvarsministeriets vurdering af nødvendighed og proportionalitet. Lovforslagets vurdering på dette punkt er alene baseret på en relativt overfladisk sammenligning af PNR med to domme fra EU-domstolen om tele-logning, og lovforslagets bemærkninger omtaler således overhovedet ikke den aktuelle sag ved EU-domstolen om PNR-aftalen mellem EU og Canada (Udtalelse A-1/15), hvor der p.t. foreligger et forslag til afgørelse fra EU-domstolens generaladvokat af 8. september 2016, og hvor en endelig afgørelse formentligt snart kan forventes.

Eftersom den forslåede ordning vedrørende FE's adgang til PNR-oplysninger er i strid med EU-retten i forslagets nuværende form, og eftersom der snart kan forventes en afgørelse fra EU-domstolen i sag A-1/15 som meget vel kan have konsekvenser for såvel nærværende forslag som for det eksisterende danske PNR-system, vil IT-Politisk Forening anbefale at et (eventuelt revideret) lovforslag om FE-adgang til PNR-oplysninger ikke fremsættes på nuværende tidspunkt.

Lovforslagets forhold til EU-retten og EMRK

Efter Forsvarsministeriets opfattelse falder den foreslåede adgang til PNR-oplysninger inden for EU-rettens anvendelsesområde. Derudover anerkender Forsvarsministeriet, at der er tale om et indgreb i grundlæggende rettigheder. Fordi EU-retten finder anvendelse, skal dette indgreb opfylde betingelserne i såvel Charteret som den Europæiske Menneskerettigheds­konvention (EMRK). Disse betingelser ikke nødvendigvis identiske, blandt andet fordi Charteret i artikel 8 opererer med den særskilte ret til persondatabeskyttelse (som ikke direkte findes i EMRK), og fordi betingelserne for indgreb i retten til privatliv efter EMRK artikel 8, stk. 2 formelt er forskellige fra Charteret artikel 52, stk. 1. Derudover kan der naturligvis være forskelle i retspraksis hos EU-Domstolen og den Europæiske Menneskerettighedsdomstol (EMD).

I forhold til Charteret vil FE's adgang til PNR-oplysninger hos SKAT, og luftfartsselskabers forpligtelse til at videregive PNR-oplysninger til SKAT med henblik på blandt andet FE's varetagelse af opgaver rettet mod forhold i udlandet, udgøre et indgreb i retten til privatliv (Charteret artikel 7) og retten til persondatabeskyttelse (Charteret artikel 8). Retten til persondatabeskyttelse omfatter bl.a. adgang til oplysninger og ret til berigtigelse, jf. artikel 8, stk. 2, og at overholdelsen af disse regler skal være sikret af en uafhængig myndigheds kontrol (artikel 8, stk. 3).

Et indgreb i rettigheder sikret af Charterets artikel 7 og 8 skal opfylde betingelserne i Charteret artikel 52, stk. 1, dvs. at indgrebet skal være fastsat i lovgivningen, respektere det væsentligste indhold af de grundlæggende rettigheder, forfølge et mål af almen interesse, samt være nødvendigt og proportionalt.

Ifølge præmis 95 i dommen Maximillian Schrems mod Data Protection Commissioner C-362/14 fra EU-domstolen (”Schrems-dommen”) er retten til indsigt og berigtigelse en del af det væsentligste indhold af den grundlæggende ret til en effektiv domstolsbeskyttelse, jf. artikel 47 i Charteret. Præmis 95 i Schrems-dommen siger:

Tilsvarende opfylder en lovgivning, der ikke fastsætter nogen mulighed for retssubjektet til at gøre brug af retsmidler med henblik på at få adgang til personoplysninger, som vedrører den pågældende, eller til at få sådanne oplysninger berigtiget eller slettet, ikke det væsentligste indhold af den grundlæggende ret til en effektiv domstolsbeskyttelse, således som denne er sikret ved chartrets artikel 47. Chartrets artikel 47, stk. 1, opstiller således et krav om, at enhver, hvis rettigheder og friheder, som sikret af EU-retten, er blevet krænket, skal have adgang til effektive retsmidler for en domstol under overholdelse af de betingelser, der er fastsat i denne artikel. I denne henseende er selve eksistensen af en effektiv domstolsbeskyttelse, som skal sikre overholdelsen af de EU-retlige bestemmelser, uløseligt forbundet med eksistensen af en retsstat.

FE's adgang til PNR-oplysninger skal altså respektere det væsentligste indhold af den grundlæggende ret til effektiv domstolsbeskyttelse (jf. artikel 47), hvilket kræver at der for alle retssubjekter er adgang til retsmidler med henblik på adgang (indsigt) og berigtigelse af PNR-oplysninger.

Den indirekte indsigtsordning i FE-lovens § 10 giver en vis ret til indsigt og berigtigelse af ukorrekte oplysninger, men denne ret er kun tilgængelig for danske personer (en i Danmark hjemmehørende fysisk eller juridisk person). FE-loven giver ikke udenlandske borgere nogen adgang til berigtigelse eller undersøgelse af om FE uberettiget behandler oplysninger om den pågældende, heller ikke vedrørende de PNR-oplysninger som FE efter lovforslaget vil kunne indhente (inden for EU-rettens rammer).

Denne retstilstand kan ikke være i overenstemmelse med det absolutte krav om at indgreb i Charterets rettigheder skal respektere det væsentligste indhold af disse rettigheder.

For at overholde kravene i Charteret om at respektere det væsentligste indhold af den grundlæggende ret, vil det efter IT-Politisk Forenings opfattelse være nødvendigt at give alle borgere, uanset om de er danske personer eller ej, adgang til klagemuligheden (den indirekte indsigtsordning) hos Tilsynet for Efterretningstjenesterne jf. FE-lovens § 10, når der er tale om FE's adgang til, og FE's efterfølgende behandling af, PNR-oplysninger fra det danske PNR-system.

Udover kravet om respekt af det væsentligste indhold af de grundlæggende rettigheder, skal FE's adgang til PNR-oplysninger også være et nødvendigt og proportionalt indgreb. Efter retspraksis fra EU-Domstolen og EMD skal kravet om nødvendighed fortolkes strengt i forhold til retten til privatliv og persondatabeskyttelse.

Generaladvokatens forslag til afgørelse i A-1/15 har en meget detaljeret analyse af disse spørgsmål i forhold til EU-Canada PNR-aftalen. Der er behov for at Forsvarsministeriet forholder sig til denne analyse i stedet for den nuværende noget overfladiske sammenligning med de to domme om tele-logning, eller alternativt at Forsvarsministeriet afventer den endelige afgørelse i sag A-1/15. Som dommen i de forenede sager C-203/15 og C-698/15 (om logning) har vist, kan den endelige dom godt være noget anderledes end generaladvokatens forslag til afgørelse.

IT-Politisk Forening kan blandt andet pege på følgende elementer i generaladvokatens forslag til afgørelse, som bør vurderes i relation til nærværende lovforslag. For det første kan det meget brede formål for FE's adgang, herunder kilderekruttering og overvågning af rejsemønstre og medrejsende for udenlandske borgere, som ikke er mistænkt for noget som helst men måske blot er embedsmænd eller politikere for en fremmed stat, næppe siges at være begrænset til det strengt nødvendige. For det andet overvejer generaladvokaten i punkt 252-261 profiling af PNR-oplysninger, altså søgning efter rejsemønstre, og den risiko som profiling medfører for at der identificeres ”falsk positive” målpersoner. Lovforslaget om FE's adgang til PNR-oplysninger indeholder ingen begrænsninger på en sådan profiling eller retsgarantier mod utilsigtede konsekvenser af en falsk positiv identifikation.

For det tredje fremhæver generaladvokaten kravet om et uafhængigt tilsyn (punkt 306-327), som generelt ikke vil være til stede i nærværende lovforslag, medmindre FE behandler PNR-oplysninger om danske personer. Endelig kan FE's meget brede adgang til at videregive oplysninger til udenlandske efterretningstjenester (herunder NSA) om borgere, der ikke er danske personer, næppe opfylde de krav som generaladvokaten opstiller i punkt 291-305. En reelt ubegrænset adgang til videregivelse, som det er udgangspunktet i FE-loven for ikke-danske personer, vil ikke kunne sikre borgerne mod uberettigede indgreb i grundlæggende rettigheder (jf. punkt 305 i generaladvokatens forslag til afgørelse).

Omfanget af FE's adgang til PNR-oplysninger hos SKAT vil givetvis være relevant i vurderingen af nødvendighed og proportionalitet. Her må det lægges til grund, at FE har ubegrænset adgang, idet det alene er FE selv som fastsætter omfanget af adgangen. Efter lovforslagets bemærkninger får FE endda direkte terminaladgang til SKAT's database med PNR-oplysninger. Selv om SKAT formelt er dataansvarlig, har SKAT ingen reel mulighed for at kontrollere at FE's adgang sker i overensstemmelse med loven og på en måde, som sikrer at grundlæggende rettigheder overholdes.

Forsvarsministeriet skriver, at ”de oplysninger, som FE efter lovforslaget vil modtage fra SKAT, er begrænset til oplysninger, som FE vurderer, kan have betydning for tjenestens efterretningsmæssige virksomhed rettet mod forhold i udlandet.” Men kriteriet er FE-lovens § 3, stk. 1 (”medmindre det på forhånd kan udelukkes, at oplysningerne har relevans for tjenesten”), og FE har adgang til at søge efter rejsemønstre i den samlede database. Idet den blotte adgang til personoplysninger i eksempelvis en PNR-database udgør et indgreb i retten til privatliv og persondatabeskyttelse, kan FE's adgang ikke siges at være reelt begrænset efter objektive kriterier, heller ikke selv om FE eventuelt ender med at modtage oplysninger om et begrænset antal personer. Der er i øvrigt intet uafhængigt tilsyn som kan vurdere dette, fordi Tilsynet med Efterretningstjenesterne kun har tilsynskompetence i forhold til FE's behandling af personoplysninger om danske personer.

Endelig har Charteret i artikel 21, stk. 2 et forbud mod forskelsbehandling på grundlag af nationalitet. Lovforslaget skelner imidlertid skarpt mellem danske statsborgere og øvrige borgere, idet FE kun har adgang til PNR-oplysninger for den sidstnævnte gruppe. I sagen Heinz Huber mod Forbundsrepublikken Tyskland, sag C-524/06, fandt EU-domstolen at artikel 12, stk. 1, EF var til hinder for, at en medlemsstat med henblik på kriminalitetsbekæmpelse indfører et system til behandling af personoplysninger, som kun omfatter unionsborgere, der ikke er statsborgere i denne medlemsstat (præmis 81). En analogi-slutning til FE's adgang til PNR-oplysninger vil være nærliggende, når denne adgang er opfattet af EU-retten.

Denne forskelsbehandling kunne Forsvarsministeriet selvfølgelig undgå ved at give FE adgang til PNR-oplysninger for alle borgere, men det vil til gengæld rejse nye problemer af mere principiel karakter, idet FE som udenrigsefterretningstjeneste ikke bør behandle oplysninger om danske borgere på systematisk basis. Hvis EU-retten er til hinder for lovforslagets indbyggede diskrimination mellem danske statsborgere og andre unionsborgere, må det betragtes som endnu en grund til at opgive lovforslaget og overlade adgangen til PNR-oplysninger til PET efter den eksisterende lovgivning.

Lovforslagets konsekvenser for det eksisterende danske PNR-system

I høringssvaret til det lovforslag, der etablerer det nuværende danske PNR-system i SKAT's regi og giver PET adgang til PNR-oplysningerne hos SKAT (lovforslag L 23, 2015-16), anførte IT-Politisk Forening, at lovforslaget ikke skabte en hjemmel for at udenlandske luftfartsselskaber, der ikke er omfattet af den danske persondatalov, kunne videregive PNR-oplysninger til det danske PNR-system hos SKAT. IT-Politisk Forening anbefalede derfor, at det i lovforslaget blev præciseret, at udenlandske luftfartsselskaber ikke bør være forpligtet til at videregive PNR-oplysninger til SKAT, hvis videregivelsen af oplysningerne vil stride mod lovgivningen i det land, hvor luftfartsselskabet er hjemmehørende, idet et udenlandsk luftfartsselskab ellers vil blive sat i en uacceptabel situation, hvor selskabet må vælge mellem, hvilken lovgivning selskabet skal overtræde.

Justitsministeriet var ikke enig i dette, idet en sådan undtagelse ikke ville sikre PET tilstrækkelig adgang til sådanne oplysninger, som har væsentlig betydning for bl.a. muligheden for at imødegå alvorlige trusler mod Danmark, jf. den kommenterede høringsoversigt for L 23, side 8. Det må derfor lægges til grund, at der kan opstå situationer hvor udenlandske luftfartsselskaber ikke kan overholde national lovgivning eller påbud fra deres nationale datatilsynsmyndighed, hvis de videregiver PNR-oplysninger til det danske PNR-system hos SKAT.

Efter IT-Politisk Forenings opfattelse vil nærværende lovforslag øge risikoen for at denne situation opstår. Det skyldes at lovforslaget giver FE adgang til PNR-oplysninger til formål som er meget forskellige fra de formål, som PNR-direktivet tillader (Direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af PNR-oplysninger til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet). Det gælder for eksempel formålet om kilderekruttering eller generel overvågning af udenlandske embedsmænd, blot fordi deres bevægelser og medrejsende kan have interesse for den danske udenrigspolitik, eller lignende meget upræcise formål under dække af ”virksomhed rettet mod forhold i udlandet”.

Den brede adgang for FE til at videregive modtagne PNR-oplysninger til eksempelvis NSA, og det manglende tilsyn med behandlingen af personoplysninger hos FE for borgere, der ikke er danske personer, kunne også meget vel vække bekymring for datatilsynsmyndigheder i andre af Unionens medlemsstater. Fra 25. maj 2018 skal disse vurderinger foretages i forhold til den nye persondataforordning med generelt skærpede krav for behandling af personoplysninger.

FE's adgang til oplysninger i det danske PNR-system vil formentlig også gøre det vanskeligere for Danmark at forhandle en aftale med EU om udveksling af oplysninger mellem det danske PNR-system og det europæiske PNR-system under PNR-direktivet. Den danske regering har tidligere udtryk ønske om en sådan aftale (”parallelaftale” med PNR-direktivet).

Muligheden for at skelne mellem danske statsborgeres og andre borgeres PNR-oplysninger

Eftersom lovforslaget kun etablerer en hjemmel for FE til at modtage PNR-oplysninger om personer, der ikke er danske statsborgere, skal FE være i stand til at skelne mellem de to grupper. Tilsyneladende anser Forsvarsministeriet ikke denne opgave for at udgøre et videre problem for FE, men det er en vurdering som IT-Politisk Forening ikke er enig i.

For flyvninger mellem Danmark og et land uden for Schengen, må det antages at PNR-oplysningerne generelt vil indeholde et pasnummer (til brug for API-systemet med forhåndsvurdering af indrejsende inden de ankommer til paskontrollen), som kan bruges til at skelne mellem danske statsborgere og andre landes statsborgere. Som Forsvarsministeriet bemærker kan der dog ske registrering af danske statsborgere med dobbelt statsborgerskab, hvis de benytter deres udenlandske pas. Danske statsborgere kan muligvis også blive registreret hos FE, hvis de rejser sammen med borgere som ikke er danske statsborgere, idet PNR-oplysningerne omfatter antal medrejsende og disses navne på passagerlisten (PNR-element nummer 16). Det kunne for eksempel være en ægtefælle, der ikke er dansk statsborger. Her er det uklart, om det er lovforslagets reelle hensigt, at danske statsborgere skal registreres hos FE, blot fordi de rejser sammen med deres udenlandske ægtefælle.

De største problemer med at skelne mellem danske statsborgere og andre borgere opstår dog, når der er tale om flyvinger inden for Schengenområdet. Her modtager luftfartsselskabet ikke oplysninger om pasnummer, og identifikationskravene til passagererne er generelt noget mindre end ved rejser uden for Schengenområdet. Forsvarsministeriet mener at FE kan fravælge danske statsborgere ud fra de angivne kontaktoplysninger. Telefonnumre har landekoder, men ikke nødvendigvis det land hvor passageren reelt bor eller er statsborger. PNR-oplysningerne indeholder også faktureringsadresse, men det er langt fra sikkert at luftfartsselskabet har denne oplysning, blandt andet fordi flybilletter i dag er digitale, og kan bestilles via et utal af booking-tjenester på internettet. Toldlovens § 17, stk. 4 forpligter kun luftfartsselskaber til at videregive de PNR-oplysninger, som de i forvejen behandler, herunder har modtaget fra booking-tjenester (rejsebureauer og rejseagenter).

Sammenfattende kan kontaktoplysningerne med en række forbehold og indbyggede usikkerheder fortælle hvor passagerne bor. Det vil imidlertid betyde at danske statsborgere, som bor i udlandet (inden for Schengenområdet), vil blive registreret hos FE fordi deres kontaktoplysninger peger på en udenlandsk adresse. Her taler vi om et stort antal danske statsborgere, som formentlig ofte rejser til Danmark med fly. Disse borgere kan selvfølgelig anskaffe sig en ”burner phone” med et dansk mobilnummer i håb om at det er nok til at blive klassificeret som dansk statsborger, men det samme kan alle andre som ikke ønsker at blive registeret hos FE.

På grund af de betydelige usikkerheder med at fastslå passagerernes nationalitet ved flyvninger inden for Schengenområdet, vil IT-Politisk Forening anbefale, at FE's adgang til PNR-oplysninger begrænses til flyvninger mellem Danmark og lande uden for Schengenområdet (hvis forslaget om FE's PNR-adgang overhovedet skal gennemføres med den indbyggede diskrimination mellem danske statsborgere og andre unionsborgere).

B. Ændring af FE's forpligtelse til sletning af oplysninger

Folketinget har for nylig ændret PET-loven, således at PET ikke længere skal foretage en løbende gennemgang (”styret dynamisk revision”) af PET's databaser med henblik på at sikre, at oplysningerne slettes når de ikke længere er nødvendige for varetagelsen af PET's opgaver, jf. principperne i persondatalovens § 5, stk. 5. Derudover fritages PET for forpligtelsen til at slette oplysninger som ikke længere er nødvendige for varetagelsen af tjenestens opgaver, hvis oplysningerne indgår i dokumenter hvor de øvrige oplysninger fortsat er nødvendige for PET's arbejde. Tilsynet for Efterretningstjenesterne har i Årsredegørelse 2014 og 2015 rejst kritik af PET's manglende sletning af personoplysninger efter kravene i den gældende PET-lov, og det var Justitsministeriets motivation for at søge PET-loven ændret.

Forsvarsministeriet foreslår nu en tilsvarende lempelse af slettereglerne for FE. Efter lovforslaget skal FE kun slette sager og dokumenter, hvis FE i forbindelse med sine øvrige aktiviteter bliver opmærksom på at kravene i FE-lovens § 4, stk. 2 og § 5, stk. 2 ikke længere er opfyldt. Derudover skal FE ikke slette oplysninger, der ikke længere opfylder betingelserne i § 4, stk. 2 og § 5, stk. 2, hvis disse oplysninger indgår i dokumenter m.v., som i øvrigt opfylder betingelserne i § 4, stk. 2, og § 5, stk. 2. Der skal dog ske sletning af oplysninger som indgår i andre dokumenter, hvis dette forhold konstateres i forbindelse med Tilsynet for Efterretningstjenesternes behandling af en anmodning under den indirekte indsigtsordning (FE-loven § 10, stk. 1). Det svarer til den nyligt vedtagne ændring af PET-loven.

IT-Politisk Forening undrer sig over at denne indskrænkning af borgernes rettigheder er nødvendig. Vi kan læse i rapporterne fra Tilsynet for Efterretningstjenesterne, at PET har store problemer med at behandle personoplysninger i overensstemmelse med PET-loven (de krav som er gældende frem til 1. marts 2017). Men vi kan også læse i rapporten vedrørende FE, at der ikke her er nogen reelle problemer med at overholde de gældende behandlingskrav og sletteregler. I 2015 har Tilsynet endda gennemført mere omfattende og intensive kontroller med FE's behandling af oplysninger om danske personer uden at der blev konstateret problemer med at overholde FE-lovens behandlingskrav.

Antallet af danske borgere i FE's registre er ikke offentligt kendt, men det må antages at være langt mindre end antallet af personer, der er registreret hos PET. Den formodning er baseret på, at FE's arbejde er rettet mod forhold i udlandet, mens PET tager sig af de hjemlige trusler mod rigets sikkerhed. Et stort antal danske borgere kan meget vel være registreret i rådata hos FE, men en slettepligt for oplysninger, som ikke længere opfylder kravene i § 4, stk. 2 og § 5, stk. 2, indtræder først når rådata er bearbejdet, og når FE i den forbindelse kan konstatere, at der er tale om oplysninger vedrørende danske personer. Sletteforpligtelserne for bearbejdede rådata giver i øvrigt heller ikke anledning til kritiske bemærkninger fra Tilsynet.

Selv om FE uden problemer kan overholde den eksisterende lovgivning og efterleve de eksisterende retsgarantier i forhold til danske personer, foreslår Forsvarsministeriet alligevel, af slettereglerne lempes. I baggrunden for forslaget nævnes primært PET og PET's problemer med at efterleve de sletteregler, som er gældende frem til 1. marts 2017.

Denne begrundelse for at lempe slettereglerne for FE synes at være endog meget svag. I den forbindelse skal IT-Politisk Forening påpege, at FE's indsamling og behandling af personoplysninger udgør et indgreb i retten til privatliv efter artikel 8 i Den Europæiske Menneskerettigheds­konvention (EMRK). En konsekvens af lovforslaget er, at der generelt vil blive opbevaret oplysninger om borgerne hos FE i længere tid, fordi kravet om løbende gennemgang ophæves, og fordi oplysninger som ikke længere er nødvendige ikke vil blive slettet, hvis de indgår i andre dokumenter.

Efter retspraksis fra den Europæiske Menneskerettigheds­domstol (EMD) skal indgreb i retten til privatliv begrænses til det som er strengt nødvendigt for at forfølge legitime formål i et demokratisk samfund, for eksempel den nationale sikkerhed. Som en konsekvens af nærværende lovforslag kommer FE til at behandle oplysninger, som på ingen måde er nødvendige, og det sker alene af økonomiske årsager (dog synes lovforslaget ikke at kunne pege på økonomiske fordele for FE ved at lempe slettereglerne), på grund af fejldesignede IT-systemer (et IT-system som ikke tillader sletning på oplysningsniveau som en del af andre dokumenter må anses for at være fejldesignet, da systemets design gør det uforholdsmæssigt vanskeligt at beskytte borgernes grundlæggende ret til privatliv), eller af helt tredje årsager som ikke fremgår af lovforslaget.

IT-Politisk Forening vil opfordre til at Forsvarsministeriet overvejer, om den åbenlyst unødvendige lempelse af FE's sletteforpligtelser er forenelig med EMRK artikel 8. Denne vurdering findes ikke i lovudkastet, som alene overvejer forholdet til EMRK i forbindelse med FE's foreslåede adgang til PNR-oplysninger hos SKAT.