Høringssvar vedr. udkast til bekendtgørelse om politiets behandling af oplysninger i forbindelse med tværgående informationsanalyser (POL-INTEL)
I IT-Politisk Forenings høringssvar vedr. lovforslag om ændring af lov om politiets virksomhed og toldloven (Politiets anvendelse af databaserede analyseredskaber og adgang til oplysninger om flypassagerer) bemærkede vi, at lovforslaget indeholdt nogle relativt brede beføjelser (specielt den foreslåede § 2 a, stk. 1 i politiloven), eller henviste til allerede eksisterende brede bestemmelser som rammerne for politiets behandling af personoplysninger efter persondataloven.
Inden for rammerne af persondataloven, og når det er nødvendigt for at udføre politiets opgaver efter politilovens § 2, kan politiet anvende oplysninger fra eksisterende databaser til tværgående informationsanalyser. Der skabes således ikke med politilovens § 2 a en hjemmel til at indhente flere oplysninger, men alene en hjemmel til at anvende disse oplysninger til tværgående informationsanalyser (som kan udgøre et nyt formål).
Udover disse rammer, har den nye § 2 a, stk. 1 i politiloven ingen reelle afgrænsninger, eksempelvis om hvilke oplysninger fra eksisterende databaser der kan indgå i tværgående informationsanalyser, og hvornår sådanne tværgående informationsanalyser må udføres. I sin yderste konsekvens kan § 2 a, stk. 1 indebære en næsten fuldstændig fravigelse af det fundamentale princip om, at personoplysninger skal indsamles til udtrykkeligt angivne formål, og at senere behandling ikke må være uforenlig med disse formål.
Ud fra bemærkningerne til politilovens § 2 a var det IT-Politisk Forenings klare forventning, at der i en kommende bekendtgørelse, jf. politilovens § 2 a, stk. 3, ville blive fastsat mere præcise rammer for de tværgående informationsanalyser. Bekendtgørelsesudkastet lever på ingen måde op til denne forventning.
Efter § 8, stk. 1 i bekendtgørelsesudkastet kan der til tværgående informationsanalyser anvendes alle registre, som politiet har, eller som politiet kan bringe i anvendelse efter gældende ret. Formålene for tværgående informationsanalyser er angivet i §§ 4-5, og det er en nærmest fuldstændig opregning af politiets opgaver efter politilovens § 2. Med politilovens § 2, nr. 6-7 kan der endda være tale om opgaver, hvor politiet yder assistance til andre myndigheder. Det skaber en overhængende risiko for ”mission creep” (hvor et overvågnings- og kontrolsystem bruges til flere og flere formål) ud over politiets primære funktion med retshåndhævelse. Eneste negative afgrænsning er i forhold til politiets administrative afgørelsesvirksomhed, men det er allerede nævnt i bemærkningerne til politilovens § 2 a.
I stedet for at præcisere anvendelsesområdet for § 2 a, stk. 1 i politiloven, gør bekendtgørelsen reelt det modsatte ved at udvide anvendelsesområdet for denne bestemmelse om tværgående informationsanalyser. Det skyldes, at der i bekendtgørelsesudkastets kapitel 4 fastsættes nogle meget lange slettefrister i medfør af § 2 a, stk. 3, som betyder at oplysninger fra de eksisterende registre kan blive opbevaret i væsentligt længere tid.
Videregivelse af personoplysninger til POL-INTEL, og anvendelse af oplysningerne til tværgående informationsanalyser, udgør et indgreb i borgernes ret til privatliv og beskyttelse af personlige oplysninger, jf. artikel 7 og 8 i Charter om Grundlæggende Rettigheder, samt artikel 8 i Den Europæiske Menneskerettighedskonvention (EMRK). Udover krav om nødvendighed og proportionalitet, skal et sådant indgreb være fastsat ved et lovgrundlag, som er klart og præcist, og hvor anvendelsen er forudsigelig for de berørte personer, jf. retspraksis herom fra Den Europæiske Menneskerettighedsdomstol (EMD) og EU-Domstolen.
Når hverken politilovens § 2 a eller den tilhørende bekendtgørelse kommer nærmere en præcisering, end at alle oplysninger, som politiet har eller kan få adgang til, kan anvendes til stort set alle formål inden for politiloven, og når der ikke er fastsat materielle og processuelle betingelser for adgangen til lagrede oplysninger og anvendelsen heraf til tværgående informationsanalyser (herunder søgning, samkøring, profilering, etc.), er det meget svært at se, at der skulle foreligge et klart og præcist lovgrundlag, og at anvendelsen heraf er forudsigelig for de berørte personer.
Det er reelt umuligt at vurdere konsekvenserne af politilovens § 2 a, og bekendtgørelsesudkastet ændrer ikke på dette, snarere tværtimod. Lovgrundlaget for POL-INTEL er derfor egnet til at skabe en følelse hos danske borgere af, at deres privatliv er genstand for konstant overvågning.
Efter disse generelle betragtninger har IT-Politisk Forening følgende specifikke bemærkninger til bekendtgørelsesudkastet.
Relevant persondatalovgivning for POL-INTEL
Da politilovens § 2 a blev fremsat i Folketinget, var politiets behandling af personoplysninger på alle områder omfattet af persondataloven. I dag er der to forskellige love, som regulerer politiets behandling af personoplysninger, afhængig af om behandlingen sker i forbindelse med retshåndhævelse eller øvrige opgaver. Specielt fra 25. maj 2018 vil der på nogle punkter være ret stor forskel på de lovmæssige rammer.
IT-Politisk Forening går ud fra, at det primære formål med POL-INTEL er at forebygge, efterforske, afsløre og retsforfølge strafbare forhold, hvor behandlingen af personoplysninger er omfattet af lov om retshåndhævende myndigheders behandling af personoplysninger (retshåndhævelsesloven). Men ikke alle formål for tværgående informationsanalyser i bekendtgørelsesudkastets §§ 4-5 er retshåndhævelse, og for disse formål finder persondataloven, og fra 25. maj 2018 databeskyttelsesforordningen, anvendelse.
Der må gælde generelt skærpede krav for nødvendighed og proportionalitet, hvis personoplysninger indsamlet til politiets ikke-retshåndhævende opgaver videregives til behandling i POL-INTEL, specielt hvis det sker i form af videregivelse af alle personoplysninger i de pågældende registre. Fra 25. maj 2018 må det være en videregivelse til et nyt formål, som skal opfylde kravene i databeskyttelsesforordningens artikel 23, stk. 1, jf. artikel 6, stk. 4.
Fastlæggelse af informationskilder (§ 8)
Til POL-INTEL kan politiet bruge de registre, databaser, m.v., som politiet selv fører efter gældende ret (faste kilder), og øvrige kilder som politiet efter gældende ret kan bringe i anvendelse som led i varetagelsen af politiets opgaver. I begge tilfælde skal anvendelsen af oplysninger fra de angivne kilder være fastsat ved lov eller i henhold til lov.
IT-Politisk Forening har bemærket, at der i udkast til nye bekendtgørelser for automatisk nummerpladegenkendelse (ANPG), Politiets Efterforskningsstøttedatabase (PED) og Det Centrale Kriminalregister (CKR) er indsat en generel bestemmelse om, at (alle) oplysninger fra de pågældende registre kan indgå i tværgående informationsanalyser, jf. politilovens § 2 a, stk. 1. IT-Politisk Forening forventer, at en tilsvarende bestemmelse vil blive indsat i en række øvrige bekendtgørelser, som regulerer politiets behandling af personoplysninger på forskellige områder.
Problemet ved denne fremgangsmåde er at der ikke sker en reel afgrænsning af hvilke personoplysninger, som kan indgå i POL-INTEL, fordi alle oplysninger under de nævnte bekendtgørelser kan videregives til tværgående informationsanalyser.
EU-Domstolen har flere gange, og senest i sagen A-1/15 af 26. juli 2017 (udtalelse om EU-Canada PNR-aftalen), fastslået, at lovgivningen bl.a. altid skal opfylde objektive kriterier, som fastlægger et forhold mellem de personoplysninger, der skal opbevares, og det forfulgte mål (jf. præmis 191 i sag A-1/15). Politilovens § 2 a og bekendtgørelsesudkastet sikrer ikke, at der er et sådant forhold mellem de personoplysninger, som videregives til behandling i POL-INTEL, og de forfulgte mål. Det må stå klart alene af den grund, at POL-INTEL kan bruges til en række forskellige formål, og at alle personoplysninger i POL-INTEL som udgangspunkt kan bruges til alle formål.
Efter IT-Politisk Forenings opfattelse er der behov for en langt mere præcis regulering af hvilke personoplysninger, der kan videregives til behandling i POL-INTEL. Der skal i hvert enkelt tilfælde være en objektiv sammenhæng mellem de oplysninger, som kan behandles i POL-INTEL, og det forfulgte mål. Et hensyn til proportionalitet må almindeligvis tilsige, at ved efterforskning af alvorlig kriminalitet, kan der anvendes flere informationskilder og mere indgribende behandlingsaktiviteter (søgning, samkøring, profilering, etc) end ved mere almindelige kriminalitet og andre politiopgaver, eksempelvis udlændingekontrol.
Tværgående informationsanalyser (§§ 4-5)
Bekendtgørelsesudkastets §§ 4-5 definerer hvornår politiet må bruge tværgående informationsanalyser. Det er reelt til alle politiets opgaver efter politilovens § 2, dog undtagen den rent administrative afgørelsesvirksomhed eller som led i generel informationssøgning. I § 4 kan der behandles oplysninger om direkte identificerede personer. For informationsanalyser i § 5 er det identificerbare personer, idet der skal foretages pseudonymisering.
En tværgående informationsanalyse kan omfatte behandling af personoplysninger om en lang række personer, specielt når der med ”data mining” laves informationsanalyser med henblik på at finde ukendte personer. En analyse i POL-INTEL kan starte med at søge efter alle nummerplader, som har været i et bestemt geografisk område. Hvis der i ANPG-systemet opbevares no-hits, fordi området er dækket af en målrettet politiindsats (p.t. gælder det hele Danmark for de stationære ANPG-kameraer), kan det være et stort antal køretøjer. Oplysninger om ejerne af disse køretøjer kan derefter samkøres med oplysninger fra CKR og PED, samt måske SIS II eller Europol registre. Køretøjernes tidligere bevægelsesmønstre kan analyseres ud fra historiske ANPG-oplysninger. Telefon-metadata fra tidligere sager (hvis de er registreret i POL-INTEL) eller andre efterretninger fra kilder kan bruges til at skabe associationer mellem forskellige personer over flere ”hops” (A har haft kontakt til B, som har haft kontakt til C; en personforbindelse mellem A og C over to ”hops”).
På grundlag af disse analyser og potentielt meget detaljerede personprofiler kan politiets analytikere og efterforskere hurtigt gøre sig en række antagelser om et stort antal personer, og nogle af disse personer kan blive genstand for yderligere indgribende efterforskningsskridt alene på grundlag af dataanalyser. Disse databehandlingsaktiviteter kan meget vel udgøre en høj risiko for den registreredes rettigheder og frihedsrettigheder.
Politiets opgaver med at forebygge efterforske, afsløre og retsforfølge strafbare forhold vil være dækket af bekendtgørelsesudkastets § 4, nr. 1-2. Alle strafbare forhold er omfattet, og der skelnes ikke mellem alvorlig kriminalitet og simple straffelovsovertrædelser. I alle tilfælde er der i princippet adgang til at foretage tværgående informationsanalyser, hvis det er nødvendigt for politiopgaven.
I ANPG-bekendtgørelsens § 7 er der visse begrænsninger på hvilke søgninger, som politiet må lave. Hvis søgningen ikke skal tage udgangspunkt i en konkret mistænkt person, skal der være tale om en lovovertrædelse, som kan straffes med fængsel i mindst 18 måneder. Tilsvarende begrænsninger ses ikke i bekendtgørelsesudkastets § 4, hvilket er inkonsistent. En informationssøgning i POL-INTEL kan omfatte langt flere oplysninger om den enkelte borger (via samkøring) end i ANPG-systemet, og være mere indgribende i disse personers ret til privatliv og beskyttelse af personlige oplysninger.
IT-Politisk Forening vil anbefale, at der fastsættes mere præcise regler om hvilke typer informationsanalyser der må laves for forskellige kriminalitetstyper, og at der kun må laves informationsanalyser med henblik på at finde ukendte personer (”data mining” og profiling af ukendte personer) i de mest alvorlige sager.
Der er også mulighed for at bruge informationsanalyser i POL-INTEL til grænse- og udlændingekontrol, endda inden for rammerne af § 4 med direkte identificerede personer. IT-Politisk Forening finder det principielt betænkeligt at bruge et overvågningssystem, der har retshåndhævelse som sit primære formål, til grænse- og udlændingekontrol. Det er almindelige administrative kontrolopgaver, ikke kriminalitetsbekæmpelse. Informationsanalyser til dette formål bør være begrænset til konkrete opslag i relevante registre, hvor disse personer eventuelt kan være registreret. Det vil ikke være proportionalt at foretage omfattende informationsanalyser, herunder profilering, med henblik på eksempelvis at afdække tidligere rejseadfærd for disse personer.
Artikel 23 i Schengen-grænsekodekset 2016/399/EU tillader kun politimæssige foranstaltninger i grænseområdet, hvis de ikke har karakter af systematisk grænsekontrol som ved de ydre grænser, hvis de udføres som stikprøvekontrol, og hvis de bygger på generelle politioplysninger og -erfaringer. Efter IT-Politisk Forenings opfattelse vil informationsanalyser, hvor enkeltpersoner kan identificeres, ikke være foreneligt med kravet om at foranstaltningerne skal bygge på generelle politioplysninger og -erfaringer. I stedet vil vi anbefale, at informationsanalyser til at gennemføre udlændingekontrol baseres på pseudonymiserede (svarende til § 5 i bekendtgørelsesudkastet) og helst anonymiserede oplysninger, således at politiet kun får aggregerede informationer der kan bruges til planlægningsformål i forhold til kontrolindsatsen.
Endelig skal IT-Politisk Forening bemærke, at der ikke i §§ 4-5 er fastsat begrænsninger for behandlingen af særlige kategorier af personoplysninger (følsomme personoplysninger).
Pseudonymisering og betingelser for afmaskering (§§ 5-6)
Efter bekendtgørelsesudkastets § 5 kan der laves tværgående informationsanalyser i forbindelse med en række yderligere opgaver, som ikke har nogen forbindelse til konkrete strafbare handlinger. Kravet er at der benyttes pseudonymiserede oplysninger, hvilket i første omgang beskytter de registrerede mod at blive udpeget af den medarbejder hos politiet, som forestår behandlingen.
Hvis politiet mener at det er strengt nødvendigt at finde frem til de(n) person(er), som en informationsanalyse med pseudonymiserede oplysninger har udpeget, kan udvalgte medarbejdere hos Rigspolitiet træffe beslutning om afmaskering. Kriterierne for at gøre dette fremgår ikke af bekendtgørelsen, og principperne for anvendelse af afmaskering er således ikke forudsigelige for de berørte personer.
Eftersom informationsanalyserne efter § 5 ikke laves for at forebygge, efterforske, afsløre eller retsforfølge konkret kriminalitet, men snarere politiopgaver som har karakter af generelle kontrolforanstaltninger eller understøtter andre myndigheder, er det meget svært at se hvornår det skulle være strengt nødvendigt af foretage en afmaskering.
Det er også noget uklart hvilke opgaver der falder ind under § 5, nr. 1-2, som dækker strafbare forhold, men ikke konkrete strafbare forhold (der vil være § 4, nr. 1-2). Hvis der tænkes på ”data mining” informationsanalyser af eksempelvis mulige sammenhænge mellem, at en given (pseudonymiseret) bil krydser grænsen eller Storebæltsbroen og forekomsten af (ikke nærmere konkretiserede) indbrud i et geografisk område, vil det være meget betænkeligt at foretage afmaskering af eventuelle målpersoner fra denne informationsanalyse. Det skyldes, at analyser af den type har en lang række fejlkilder og risiko for falsk-positive identifikationer.
Opbevaring og sletning (§§ 9-10)
Efter bekendtgørelsesudkastets § 9, stk. 2 skal personoplysninger, der behandles i POL-INTEL som led i foretagelse af tværgående informationsanalyser, slettes senest 10 år efter at de er indsamlet til denne analyse. Slettefristen kan forlænges indtil 18 år i visse situationer.
I persondataretlig forstand er ”behandling” et ganske omfattende begreb, der rummer enhver aktivitet eller række af aktiviteter, som personoplysninger gøres til genstand for, for eksempel indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
En tværgående informationsanalyse kan gøre brug af en meget stor mængde personoplysninger, specielt hvis der søges efter ukendte mistænkte blandt personer, der har været i et bestemt område, eller som har haft kontakt med andre personer via elektronisk kommunikation.
Som formuleret i bekendtgørelsesudkastet må § 9, stk. 2 betyde, at enhver personoplysning, som på en eller anden måde via søgning, samkøring, profilering, etc. direkte eller indirekte har indgået i en tværgående informationsanalyse (”været behandlet til denne analyse”), kan opbevares i op til 10-18 år. Det vil være meget vidtgående og føre til en betydelig informationsophobning i POL-INTEL.
Slettefristen på op til 10-18 år er meget længere end de slettefrister, som eksempelvis gælder efter ANPG-bekendtgørelsen. Her skal no-hits, der opbevares fordi det pågældende ANPG-kamera indgår i en målrettet politiindsats (der er geografisk og tidsmæssigt afgrænset), som bekendt slettes efter 30 dage, og hits skal slettes efter maksimalt to år. Men denne slettefrist gælder kun i selve ANPG-systemet, og hvis ANPG-oplysninger har været behandlet som led i foretagelsen af en tværgående informationsanalyse, gælder der altså helt andre slettefrister. På den måde bliver ANPG-bekendtgørelsens slettefrister stærkt misvisende, da de i række tilfælde vil blive forlænget via behandling i POL-INTEL.
Hvis der skabes en hjemmel til at Advance Passenger Information (API) oplysninger kan videregives til behandling i POL-INTEL, vil slettefristen for disse oplysninger kunne forlænges fra 24 timer til 3 år, eller i ekstreme tilfælde 8 år, hvis disse API-oplysninger har været behandlet som led i foretagelse af tværgående informationsanalyser, jf. bekendtgørelsesudkastets § 9, stk. 4-5.
Af bemærkningerne til politilovens § 2 a, stk. 1 fremgår det, at bestemmelsen ikke indebærer en ændring af politiets adgang til at indsamle personoplysninger. IT-Politisk Forening forstod denne bemærkning som at § 2 a, stk. 1 alene skabte en hjemmel til at politiet kunne lave tværgående informationsanalyser på grundlag af de personoplysninger, som politiet i forvejen rådede over i eksisterende registre. Vi havde ikke forestillet os, at § 2 a, stk. 1, og adgangen til at fastsætte regler om bl.a. sletning i bekendtgørelsesform i § 2 a, stk. 3, kunne føre til, at de eksisterende personoplysninger bliver opbevaret i væsentligt længere tid, fordi de har været i kontakt med POL-INTEL (været behandlet som led i tværgående informationssøgninger).
Med bekendtgørelsesudkastets § 7 kan personoplysninger, som har været behandlet som led i foretagelsen af tværgående informationsanalyser, endda genanvendes i nye informationsanalyser. Hvis der gælder nye 10-årige slettefrister for denne kopiering (”indsamling”) af de tidligere indsamlede personoplysninger, kan opbevaringsperioderne blive endog meget lange.
Som slettefristerne i § 9 er formuleret, specielt i sammenhæng med de generelle betingelser for at udføre tværgående informationsanalyser i §§ 4-7 og karakteren af disse analyser (især at der kan indgå store mængder personoplysninger), kan der blive tale om en ganske betydelig informationsophobning hos Rigspolitiet.
Bekendtgørelsesudkastets § 10, stk. 1 kræver dog, at Rigspolitiet regelmæssigt undersøger behovet for lagringen af personoplysninger omfattet af § 9 og påser, at personoplysninger ikke opbevares i et længere tidsrum end det, som er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Dette krav til Rigspolitiet er dog ikke videre konkret, og ordet ”regelmæssigt” i kombination med ”ikke længere end det, der er nødvendigt” giver en betydelig fleksibilitet til Rigspolitiet, som formentlig vil have en naturlig interesse i at bevare personoplysningerne i POL-INTEL frem for at slette dem.
I bekendtgørelsesudkastets § 10, stk. 2 fastsættes det samtidigt, at personoplysninger i POL-INTEL som ikke aktivt har været behandlet i 4 år skal begrænses, så de kun er tilgængelig efter den enkelte brugers konkrete anmodning. Idet ”behandlet” omfatter en lang række aktiviteter, skulle man efter 4 års inaktivitet forvente, at oplysningerne var blevet slettet i medfør af § 10, stk. 1.
Baseret på erfaringerne med PETs behandling af personoplysninger, hvor der indtil 1. marts 2017 eksisterede en tilsvarende forpligtelse til regelmæssig gennemgang og sletning af personoplysninger, som ikke længere var nødvendige for PETs arbejde, kan IT-Politisk Forening godt frygte, at slettefristerne i praksis vil blive bestemt efter den øvre grænse i § 9, stk. 2 og stk. 4 (altså henholdsvis 10 og 3 år).
For at opsummere: efter IT-Politisk Forenings opfattelse fastsætter bekendtgørelsesudkastets §§ 9-10 nogle slettefrister, som ligger uden for rammerne af det, som politilovens § 2 a tillader. Efter vores opfattelse skal behandling af personoplysninger i POL-INTEL ikke automatisk føre til at slettefrister i de oprindelige datakilder (registre) forlænges. Selvstændige slettefrister for POL-INTEL skal være begrænset til de personoplysninger, som indgår i resultaterne af de tværgående informationsanalyser. Det vil i sagens natur kræve en nærmere definition af hvad der forstås ved ”resultater af tværgående informationsanalyser” i forhold til de personoplysninger, som via behandling har givet anledning til disse resultater.
Undtagelser fra den registreredes indsigtsret (§ 12)
Bekendtgørelsesudkastets § 12, stk. 1 fastsætter en fuldstændig undtagelse fra indsigtsretten for personoplysninger, der opbevares i POL-INTEL, med henvisning til retshåndhævelseslovens § 16, stk. 4, der bl.a. giver Justitsministeren mulighed for at fastsætte nærmere regler for ”undtagelser fra retten til at få oplysninger efter § 15 for så vidt hensynene i stk. 1 må antages at medføre, at begæringer om indsigt i almindelighed må nægtes.”
IT-Politisk Forening stiller sig meget uforstående over for bekendtgørelsesudkastets § 12. Et væsentligt element i retshåndhævelsesloven er styrkelsen af den registreredes rettigheder, herunder retten til indsigt. Databeskyttelsesdirektivet 95/46/EF har en undtagelse for statens behandling af personoplysninger på det strafferetlige område, og derfor kan persondataloven have generelle undtagelser for den registreredes rettigheder på det strafferetlige område. Men det gælder ikke for retshåndhævelsesdirektivet. Retten til indsigt er naturligvis ikke absolut, men efter IT-Politisk Forenings opfattelse kan der ikke længere fastsætte generelle undtagelser som bekendtgørelsesudkastets § 12, hvor Justitsministeren reelt har afgjort alle anmodninger om indsigt på forhånd.
Begrænsninger af de registreredes rettigheder skal udgøre en ”nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser”. Af retshåndhævelsesdirektivets betragtning 44 fremgår det endvidere, at den dataansvarlige gennem en konkret og individuel undersøgelse af de enkelte tilfælde skal vurdere, om indsigtsretten helt eller delvist bør begrænses.
Kravene i retshåndhævelsesdirektivets betragtning 44 harmonerer meget dårligt med en generel afvisning af indsigtsretten efter bekendtgørelsesudkastets § 12. Det samme gælder forholdet til retshåndhævelseslovens § 16, stk. 2, som forudsætter at den registrerede får en konkret begrundelse for afvisningen. Endvidere vil den registrerede skulle vejledes om, at indsigtsretten kan udøves via Datatilsynet. Behandling af anmodninger om indsigt vil kræve mange flere ressourcer, hvis alle anmodninger skal forbi Datatilsynet, fordi Rigspolitiet (den dataansvarlige) afviser dem i første omgang.
Retshåndhævelsesloven § 16 giver mulighed for at ”udsætte, begrænse eller nægte retten til indsigt”, men bekendtgørelsesudkastets § 12 gør alene brug af muligheden for at nægte retten til indsigt. I mange situationer kan der utvivlsomt gives en delvis indsigt i oplysningerne om den registrerede, og indsigten i de øvrige oplysninger kan eventuelt udsættes til et senere tidspunkt, hvor det ikke længere kan forstyrre politiets efterforskning, eller andre hensyn som kan berettige en indskrænkning af indsigtsretten, jf. retshåndhævelseslovens § 14, stk. 1.
Bekendtgørelsesudkastets § 12, stk. 2 har en tilsvarende fuldstændig undtagelse fra indsigtsretten i medfør af persondatalovens § 32, stk. 5. IT-Politisk Forening undrer sig over denne bestemmelse, idet § 32, stk. 5 vedrører politiets behandling af personoplysninger på det strafferetlige område, som fra 1. maj 2017 er omfattet af retshåndhævelsesloven.
Når borgerne ikke har ret til indsigt i de personoplysningerne, som behandles om dem i POL-INTEL, og end ikke ret til oplysning om hvilke datakilder der indgår i POL-INTEL, har den enkelte borger ingen mulighed for at få et overblik over omfanget af databehandlingen og den overvågningsmulighed over for borgeren, som POL-INTEL indebærer. Det bidrager i ganske væsentligt omfang til at forstærke følelsen hos borgerne af, at deres privatliv er genstand for konstant overvågning. Uden en indsigtsret, har borgerne heller ikke en reel mulighed for at gøre indsigelse mod urigtige oplysninger om dem i POL-INTEL.
Oplysningspligten over for den registrerede
Med retshåndhævelseslovens ikrafttræden har politiets behandling af personoplysninger ikke længere en undtagelse fra oplysningspligten over for den registrerede.
IT-Politisk Forening bemærker, at Rigspolitiet i forhold til oplysningspligten efter retshåndhævelseslovens § 13, stk. 1 har valgt en meget overordnet beskrivelse af politiets behandling af personoplysninger [1], hvor der kun er det absolutte minimum af information som § 13, stk. 1 kræver. Borgerne kan ikke ud af den nuværende beskrivelse få nogen som helst information om hvad der sker med deres personoplysninger i et intelligence-led policing system som POL-INTEL.
Der vil være mere information om behandlingsaktiviteterne i de fortegnelser, som den dataansvarlige skal udarbejde, men disse fortegnelser er kun tilgængelige for tilsynsmyndigheden, ikke offentligheden (modsat de nuværende anmeldelser efter persondataloven). IT-Politisk Forening skal opfordre til at Rigspolitiet giver borgerne mere information om POL-INTEL, også selv om dette ikke direkte måtte være et krav efter retshåndhævelseslovens § 13, stk. 1.
Udover den generelle oplysningspligt efter retshåndhævelseslovens § 13, stk. 1 er der spørgsmålet om den individuelle oplysningspligt (meddelelser) efter § 13, stk. 2. Dette punkt er ikke omtalt i bekendtgørelsesudkastet, ligesom der heller ikke er fastsat nærmere regler om undtagelser efter retshåndhævelseslovens § 14, stk. 2 for den individuelle oplysningspligt.
Eftersom der i POL-INTEL kan behandles en betydelig mængde personoplysninger om den enkelte borger, og eftersom der kan drages en række potentielt meget indgribende konklusioner eller formodninger om den enkelte borger på grundlag af tværgående informationsanalyser (specielt samkøring og profilering), vil det efter IT-Politisk Forenings opfattelse i en række tilfælde være relevant med en individuel oplysningspligt i henhold til retshåndhævelseslovens § 13, stk. 2. Denne underretning kan naturligvis udsættes indtil det tidspunkt, hvor den ikke længere kan skade politiets efterforskning.
EU-Domstolen fremhæver i præmis 220 i sagen A-1/15 (EU-Canada PNR-aftalen), at ”en sådan underretning er nemlig de facto nødvendig for at gøre det muligt for flypassagererne at udøve deres ret til at anmode om indsigt i PNR-oplysninger, der vedrører dem, og til i givet fald at anmode om berigtigelse af disse samt til i overensstemmelse med chartrets artikel 47, stk. 1, at have adgang til effektive retsmidler for en domstol.”
Underretning af den registrerede er ikke kun relevant, hvis der i forbindelse med en efterforskning rejses tiltale mod en borger. Der vil uden tvivl være et antal sager, hvor borgere udsættes for en hemmelig databaseret efterforskning via POL-INTEL, men hvor der ikke rejses tiltale. I POL-INTEL vil der forsat befinde sig personoplysninger om borgeren, som kan få betydning for borgeren i fremtiden, og som muligvis er urigtige. Også i disse situationer skal borgerne have adgang til effektive retsmidler, hvilket forudsætter underretning og mulighed for indsigt.
Indsamling af personoplysninger fra åbne kilder
Ifølge bemærkninger til politilovens § 2 a, stk. 3 vil der blive fastsat nærmere regler for politiets indsamling og behandling fra åbne kilder, jf. politilovens § 2 a, stk. 2. Sådanne regler ses ikke at være indeholdt i det udsendte bekendtgørelsesudkast om tværgående informationsanalyser. IT-Politisk Forening formoder derfor, at disse regler vil blive fastsat i en senere bekendtgørelse.
Noter
[1] Politiets brug af personoplysninger, Rigspolitiet (senest opdateret: 8. august 2017)
https://www.politi.dk/da/loveogrettigheder/politiets+brug+af+personoplysninger/