Høringssvar om PETs og FEs adgang til udlændingemyndighedernes registre og systemer (ændring af udlændingeloven)
Udlændingeloven falder almindeligvis uden for IT-Politisk Forenings arbejdsområde, men fordi lovforslaget påvirker borgernes grundlæggende ret til privatliv, har vi nedenstående bemærkninger til lovforslagets § 1, nr. 2), som udvider den allerede meget brede adgang til oplysninger om udlændinge hos udlændingemyndighederne for Politiets Efterretningstjeneste (PET) og Forsvarets Efterretningstjeneste (FE).
Lovforslaget giver PET og FE adgang til uden samtykke at indhente oplysninger om en udlænding fra registre og systemer hos udlændingemyndighederne, hvis indhentningen kan have betydning for tjenesternes varetagelse af sikkerhedsmæssige opgaver. Efter gældende ret (udlændingelovens § 45 a, stk. 1) kan udlændingemyndighederne videregive oplysninger fra en sag på det samme grundlag (”kan have betydning”).
Efter forarbejderne til PET- og FE-loven indebærer ”kan have betydning”-kriteriet, at tjenesterne kan indhente enhver oplysning, medmindre det på forhånd kan udelukkes, at oplysningen vil være relevant for tjenesterne. Det nævnes i bemærkningerne i forbindelse med den nuværende § 45 a, stk. 1, at kriteriet giver mulighed for at tjenesterne ”kan få et generelt indblik i en eller flere grupper af sager, f.eks. samtlige sager vedrørende bestemte nationaliteter eller grupper af sager inden for disse nationaliteter.”
Forholdet til EMRK
PETs og FEs adgang til personoplysninger hos udlændingemyndighederne udgør et indgreb i retten til privatliv efter artikel 8 i den Europæiske Menneskerettighedskonvention (EMRK). Når indgrebet sker på et ”kan have betydning”-grundlag, hvor eneste krav er at oplysningernes relevans ikke på forhånd kan udelukkes, er der mulighed for en adgang til oplysninger om stort set alle udlændinge uden nogen differentiering, begrænsning eller undtagelse med hensyn til om disse personer direkte eller indirekte udgør en trussel mod den nationale sikkerhed.
Det må i sig selv anses for at være et meget vidtgående indgreb i retten til privatliv efter EMRK artikel 8. Lovforslaget indeholder imidlertid ingen vurdering af, om dette indgreb opfylder betingelserne i artikel 8, stk. 2. Det er muligt at PET og FE ikke i praksis indhenter oplysninger om alle udlændinge, men lovforslaget giver mulighed for det. Eventuelle interne instrukser hos PET og FE, som begrænser beføjelsen til at indhente oplysninger om alle udlændinge, kan ikke siges at opfylde det almindelige krav om lovgrundlagets forudsigelighed (”i overensstemmelse med loven”), jf. retspraksis for EMRK artikel 8, stk. 2.
Når personoplysninger om udlændinge indhentes af FE, vil der i nogle situationer ikke være en uafhængig kontrol med indhentningen og behandlingen af disse oplysninger, idet tilsynsmyndigheden (Tilsynet med Efterretningstjenesterne) hos FE kun fører kontrol med behandling af personoplysninger for i Danmark hjemmehørende personer. Den manglende uafhængige kontrol kan også gælde for personer, som befinder sig i Danmark, hvis der eksempelvis er tale om asylansøgere som har opholdt sig mindre end 6 måneder i Danmark. Det er vanskeligt at se, at disse (ikke i Danmark hjemmehørende) personer skulle have adgang til effektive retsmidler, som EMRK artikel 13 kræver.
IT-Politisk Forening er opmærksom på at disse betragtninger helt eller delvist også kan være relevante for den gældende § 45 a, stk. 1, men formelt vedrører vores bemærkninger i dette høringssvar lovforslagets § 1, nr. 2), altså den foreslåede § 45 a, stk. 4 i udlændingeloven. Sammenlignet med § 45 a, stk. 1, giver lovforslaget PET og FE direkte terminaladgang til alle systemer hos udlændingemyndighederne, hvor PET og FE frit kan søge efter oplysninger om udlændinge meget hurtigt og på alle tider af døgnet, uden at det nødvendigvis skal have tilknytning til en konkret sag, som udlændingemyndighederne behandler.
Især den direkte terminaladgang må anses for at udgøre et mere vidtgående indgreb i retten til privatliv end den gældende lovgivning. For det første betyder den direkte terminaladgang, at de dataansvarlige for de systemer, som PET og FE kan søge i, reelt ikke kan opfylde deres forpligtelser efter persondatalovgivningen til at beskytte personoplysninger mod uautoriseret adgang og øvrige sikkerhedskrav, jf. persondatalovens §§ 41-42. Det er særligt problematisk i forhold til FE, som ikke er forpligtet til at efterleve sikkerhedsbekendtgørelsen i medfør af persondatalovens § 41, stk. 5.
For det andet vil IT-Politisk Forening henvise til dommen Zakharov mod Rusland, sag nr. 47143/06, fra den Europæiske Menneskerettighedsdomstol (EMD) af 4. december 2015, hvor EMD i præmis 302 fandt, at efterretningstjenesternes direkte tekniske adgang til at foretage aflytning (indhentning) af elektronisk kommunikation for alle personer ikke gav tilstrækkelige garantier mod misbrug og arbitrær udnyttelse af beføjelserne. Nærværende lovforslag vedrører ganske vist direkte adgang til oplysninger om alle personer hos en civil myndighed (udlændingemyndighederne), og ikke direkte adgang til elektronisk kommunikation for alle personer hos teleselskaber, men problematikken omkring samspillet mellem den direkte tekniske adgang (terminaladgang) og muligheden for at have tilstrækkeligt effektive retsgarantier, der sikrer mod misbrug og arbitrær udnyttelse af beføjelserne, er principielt den samme.
Adgang til fælles EU-systemer
Det fremgår ikke fuldstændigt klart af lovforslaget hvilke registre og systemer hos udlændingemyndighederne lovforslaget giver PET og FE adgang til. Som IT-Politisk Forening læser lovforslaget er der tale om direkte adgang til samtlige systemer hos udlændingemyndighederne, svarende til at medarbejdere hos PET og FE var placeret internt hos udlændingemyndighederne. Det vil i givet fald omfatte flere fælles EU-systemer, herunder Eurodac og visuminformationssystemet (VIS). Med en direkte adgang til VIS og Eurodac kan PET og FE teknisk set søge efter alle personer i disse registre, uanset om de respektive personer befinder sig i Danmark eller ej.
EU-lovgivningen om VIS (forordning 767/2008/EF om visuminformationssystemet og Rådets afgørelse 2008/633/RIA om adgang til søgning i VIS) og Eurodac (forordning 603/2013/EF) giver mulighed for adgang til oplysningerne i forbindelse med forebyggelse, afsløring og efterforskning af terrorhandlinger og andre alvorlige strafbare handlinger. Samtidig fastsætter EU-lovgivningen begrænsninger på denne adgang. Eurodac-forordningens (603/2013/EF) artikel 5, stk. 1 udelukker eksempelvis adgang til oplysningerne (dvs. sammenligning af fingeraftryk) fra agenturer eller enheder, der udelukkende er ansvarlige for efterretningsvirksomhed vedrørende national sikkerhed.
I det omfang at PET og FE med lovforslaget får direkte adgang til fælles EU-systemer som VIS og Eurodac, må der være tale om en adgang til personoplysninger der falder ind under EU-retten, uanset at PETs og FEs aktiviteter med national sikkerhed som udgangspunkt falder uden for EU-retten (som Udlændinge- og Integrationsministeriet anfører i punkt 8 til lovforslagets bemærkninger). I modsat fald ville EU-lovgivningens begrænsninger på adgangen til oplysninger i eksempelvis VIS blive frataget enhver effektiv virkning, jf. analogt EU-domstolens begrundelse i præmis 65-73 i de forenede sager C-203/15 C-698/15 (Tele2-Watson sagen) for at EU-retten finder anvendelse i forhold til national lovgivning om tele-logning, herunder adgang til de loggede oplysninger.
I forbindelse med forebyggelse, afsløring og efterforskning af terrorhandlinger giver EU-lovgivningen adgang til søgning i VIS, hvis det er nødvendigt i et specifikt tilfælde, og hvis der er rimelig grund til at mene, at søgning i VIS-oplysningerne vil bidrage væsentligt til forebyggelse, afsløring eller efterforskning af en af de pågældende strafbare handlinger (jf. artikel 5, stk. 1 i Rådets afgørelse 2008/633/RIA og artikel 3, stk. 1 i VIS-forordningen 767/2008/EF).
Lovforslaget giver imidlertid PET og FE adgang til systemer hos udlændingemyndighederne, hvis indhentningen af oplysninger ”kan have betydning” for tjenesterne. Dette grundlag er langt bredere end hvad EU-lovgivningen om adgangen til VIS tillader. Hvis det er hensigten med lovforslaget, at PET og FE skal have adgang til at indhente oplysninger fra VIS, eller andre personoplysninger om udlændinge som indsamles og behandles i henhold til EU-retten, bør det præciseres i lovforslaget, at denne adgang skal ske i overensstemmelse med EU-retten og de begrænsninger på adgangen, som EU-retten fastsætter.