Høringsvar vedr. forslag til lov om ændring af udlændingeloven (Styrkede kontrolmuligheder i grænseområder og lufthavne mv.)
Høringsmaterialet kan ses her
http://hoeringsportalen.dk/Hearing/Details/42124
Dette høringssvar vedrører alene brugen af automatisk nummerpladegenkendelse (ANPG) samt passageroplysninger fra flyselskabernes bookingsystemer (i høringssvaret benævnt PNR, Passenger Name Records) i den foreslåede grænsekontrol, jf. § 1, stk. 1, nr. 1).
De øvrige dele af lovforslaget, herunder i hvilket omfang der skal være grænsekontrol inden for de rammer som Schengen-grænsekodeksen sætter, falder uden for IT-Politisk Forenings arbejdsområde.
Vores høringssvar vedrørende brugen af ANPG og PNR i grænsekontrol er opdelt i en fælles del med generelle bemærkninger til ANPR og PNR, og to dele med specifikke bemærkninger til brugen af henholdsvis ANPG og PNR.
Schengen grænsekontrol i kombination med ANPG og PNR oplysninger (generelle bemærkninger)
I ”Arbejdsgrupperapport om den politimæssige kontrol i grænseområder og lufthavne mv. med henblik på bekæmpelse af illegal indvandring og tilrejsende kriminelle” af 7. oktober 2014 anbefales det at bruge ”intelligence led policing” med registrering og profilering af de rejsende for at kunne optimere grænsekontrollen.
IT-Politisk Forening ser nærværende lovforslag som en udmøntning af denne anbefaling.
I det omfang at denne registrering og profilering omfatter alle eller hovedparten af de borgere som passerer en Schengen-grænse, vil der efter vores vurdering være tale om masseovervågning og et indgreb i retten til privatliv. Det bør give anledning til nøje politiske overvejelser, om dette indgreb er nødvendigt og proportionalt i forhold til det formål, som man søger at opfylde.
Når overvågningen af borgerne skal foregå i tilknytning til en Schengen-grænse, er der en yderligere problemstilling som bør overvejes. Artikel 21 i Schengen-grænsekodeksen tillader politimæssige foranstaltninger i grænseområdet, hvis de ikke har karakter af systematisk grænsekontrol som ved de ydre grænser, hvis de udføres som stikprøvekontrol, og hvis de bygger på generelle politioplysninger og -erfaringer med hensyn til eventuelle trusler mod den offentlige sikkerhed, og navnlig tager sigte på at bekæmpe grænseoverskridende kriminalitet.
Hvis Schengen grænsekontrollen skal baseres på registrering og profilering af den enkelte rejsende, kan der, efter vores vurdering, være en konflikt med kravet om, at grænsekontrollen skal bygge på generelle politioplysninger.
En sådan vurdering vil givetvis afhænge af den konkrete udformning af ordningen, og det er ikke klart ud fra lovforslaget i hvilket omfang den enkelte rejsende skal udsættes for systematisk registrering og profilering. Dette uddybes nedenfor under de specifikke bemærkninger til ANPG og PNR.
Brug af ANPG til Schengen-grænsekontrol
Det anføres i bemærkningerne afsnit 2.8.2, at lovforslaget bygger på den forudsætning, at politiet i overensstemmelse med arbejdsgruppens anbefalinger vil opstille kameraer til ANPG i nær tilknytning til udvalgte steder med grænsepassage suppleret af mobile kameraer i grænseområderne.
På nuværende tidspunkt er betingelserne for politiets brug af ANPG i Danmark ikke endeligt afklaret. Rigspolitiet har sendt et notat til Datatilsynet ”Juridiske forhold i forbindelse med ANPG”, dateret 26. juni 2014, men Datatilsynet er ikke færdig med at behandle sagen. Der har heller ikke været en politisk drøftelse om politiets brug af ANPG. På spørgsmål fra medlemmer af Retsudvalget om brugen af ANPG har Justitsministeren svaret, at hun ønsker at afvente Datatilsynets behandling (REU, Alm. del 2013-14, svar på spørgsmål 1525).
På den baggrund finder IT-Politisk Forening, at det er forhastet at Folketinget vedtager ny lovgivning, som er baseret på at ANPG kan indføres i den konkrete form som forudsættes i lovbemærkningerne afsnit 2.8.2.
IT-Politisk Forening mener at systematisk brug af ANPG på danske veje, herunder i grænseområderne, er et indgreb i borgernes ret til privatliv, som er sikret ved blandt andet EMRK artikel 8.
De oplysninger som kan registreres med ANPG, nummerplade (bilejer), geografisk placering og tidspunkt, kan umiddelbart sammenlignes med de masteoplysninger som teleselskaberne er forpligtet til at gemme efter logningsbekendtgørelsen. I EU-dommen om logningsdirektivet C-293/12 og C-594/12 blev indsamling af bl.a. masteoplysninger om alle borgere betegnet som overvågning (præmis 72), og selve lagringen af teleoplysninger var et indgreb i retten til privatliv og persondatabeskyttelse.
Hvis staten vil indskrænke borgernes ret til privatliv efter EMRK artikel 8, skal der for det første være en klar lovhjemmel. For det andet skal indskrænkningen være nødvendig og proportional.
Derfor bør en eventuel indførelse af ANPG i Danmark ske ved vedtagelse af en lov om ANPG, som klart fastlægger hvor ANPG må anvendes, hvilke oplysninger der må indsamles, hvor længe oplysningerne må opbevares, til hvilke formål oplysningerne må anvendes, og hvilken uafhængig kontrol der skal være med adgang til de registrerede oplysninger (for eksempel krav dommerkendelse). Kun på den måde er det muligt at vurdere, om indgrebet i borgernes ret til privatliv er nødvendigt og proportionalt.
Bemærkningerne om brugen af ANPG i afsnit 2.8.2 er delvist i modstrid med det notat, som Rigspolitiet har sendt til Datatilsynet (”Juridiske forhold i forbindelse med ANPG”, dateret 26. juni 2014). I notatet ønsker Rigspolitiet at gemme oplysninger om alle nummerplader som scannes, men bemærkningerne afsnit 2.8.2 lægger op til, at der kun skal ske registrering af samtlige køretøjer i forbindelse med specifikke kontrolaktioner. På de øvrige tidspunkter skal ANPG alene bruges til anonyme trafiktællinger, hvilket ikke kræver registrering af de enkelte køretøjers nummerplade.
IT-Politisk Forening har i øvrigt vanskeligt ved at se, hvordan registrering af køretøjers nummerplader med ANPG kan bidrage til at effektivisere grænsekontrollen.
Politiet har i forvejen hjemmel til at stoppe udenlandske køretøjer i Danmark og kontrollere identitetspapirer for udlændinge, jf. udlændingelovens § 38, stk. 6.
Hvis det handler om at spotte køretøjer som er efterlyst via Europol, må det være tilstrækkeligt at registrere disse, og en nummerpladescanning giver først og fremmest mening i en patruljevogn som kan stoppe det efterlyste køretøj.
Det er således på ingen måde klart, hvilket formål det tjener i forhold til grænsekontrol at registrere ikke-efterlyste køretøjers nummerplader, blot fordi de passerer grænsen.
Til Folketidende 22. oktober 2014 i artiklen ”Alle nummerplader kan blive scannet ved færgerne” har politidirektør ved Rigspolitiet Svend Larsen udtalt, at ANPG vil blive brugt til at kontrollere, om ”et køretøj måske krydser grænsen jævnligt, uden at der hos chaufføren er et fornuftigt belæg for at køre så ofte mellem landene” (citat fra artiklen).
Hvis der med lovforslaget er tiltænkt en sådan systematisk profilering af køretøjer, som passerer eksempelvis den dansk-tyske grænse, bør det fremgå eksplicit af lovforslagets bemærkninger. Denne type aktive profilering vil i øvrigt kræve at alle køretøjer registreres, sådan som der lægges op til i Rigspolitiets notat til Datatilsynet, og ikke den periodevise registrering som bemærkningerne afsnit 2.8.2 beskriver.
For at opsummere, mener IT-Politisk Forening at brugen af ANPG til grænsekontrol bør afvente at der skabes et decideret lovgrundlag for ANPG i Danmark. Såfremt Justitsministeriet og Folketinget ikke er enig i dette, vil vi sekundært opfordre til, at rammebetingelserne for brugen af ANPG til grænsekontrol fastsættes mere præcist i nærværende lovforslag.
Brug af passageroplysninger (PNR) i Schengen-grænsekontrol
Justitsministeriet foreslår at følgende hjemmel indsættes i udlændingeloven § 38, stk. 6
Justitsministeren fastsætter nærmere regler om kontrollen, herunder om politiets adgang til flyselskabernes bookingsystemer vedrørende flyankomster fra andre Schengenlande og om de pligter, der påhviler luftfartøjschefer og skibsførere.
Dette er reelt en lovbestemmelse om indsamling, opbevaring og anvendelse af PNR oplysninger (passenger name records) fra flyselskabernes bookingsystemer, men lovforslagets bemærkninger omtaler slet ikke denne hjemmel.
Det er således på ingen måde klart, om den tiltænkte hjemmel i udlændingeloven kan omfatte en systematisk registrering af alle Schengenflyvninger, eller om det kun er udvalgte flyvninger efter en konkret vurdering hos politiet. Det er heller ikke klart hvilke PNR oplysninger, der kan registres efter den nye hjemmel, hvor længe oplysningerne må opbevares, til hvilke formål oplysningerne må anvendes, og hvem oplysningerne eventuelt må udveksles med.
Ligesom med ANPG-ordningen bør det vurderes, om registreringen er nødvendig og proportional, og det er i sagens natur umuligt på det foreliggende grundlag, som reelt er en blanco check til Justitsministeren om at overvåge flypassagerer, der rejser inden for Schengen-området.
I folketingsåret 2005-06 vedtog Folketinget to love, der gav politiet adgang til oplysninger i flyselskabernes bookingsystemer: L 94 der indsatte en hjemmel i udlændingeloven § 38, stk. 4 for flyvninger fra ikke-Schengenlande, og anti-terrorpakke II L 217 der indsatte en hjemmel i luftfartsloven § 148 a, som giver PET adgang til PNR oplysninger i flyselskabernes bookingsystemer med henblik på forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13.
I begge tilfælde indeholder lovforslagenes bemærkninger en nærmere konkretisering af Justitsministerens hjemmel til at fastsætte regler om adgang til PNR oplysninger (afsnit 8 i bemærkningerne til L 94 og afsnit 8 i L 217).
I det aktuelle lovforslag er brugen af passageroplysninger kun omtalt meget sporadisk og indirekte i bemærkningernes afsnit 2.5, hvor der omtales indhentning af oplysninger om mistænkelige billetkøb og rejseruter. Men det er ikke klart, om disse bemærkninger sigter til den fremtidige anvendelse af hjemlen i udlændingeloven § 38, stk. 6, eller om bemærkningerne alene beskriver politiets nuværende praksis med de passageroplysninger, som politiet har adgang til på anden vis. I REU, Alm. del 2014-15, bilag 42 omtaler Justitsministeren passageroplysninger fra et samarbejde med SKAT (PIU-samarbejdet), som nu er ophørt, fordi der er rejst tvivl om lovligheden af politiets adgang til disse oplysninger.
IT-Politisk Forening skal opfordre til, at adgangen til PNR oplysninger i nærværende lovforslag kommenteres i lovforslagets bemærkninger. Der bør også afholdes en ny høring over disse bemærkninger.
Hvis Justitsministeriet ikke finder det nødvendigt at afholde en ny høring om bemærkningerne til PNR adgangen, har IT-Politisk Forening følgende (nedenstående) bemærkninger til den foreslåede PNR ordning for Schengen-flyvninger til Danmark.
Hvis der med lovforslaget er tiltænkt en systematisk indsamling af PNR oplysninger for alle Schengen flyvninger til Danmark (hvilket der lægges op til med forslagene om ”intelligence led policing” i arbejdsgrupperapporten af 7. oktober 2014), er der efter vores opfattelse tale om en behandling af personoplysninger som ikke er nødvendig og proportional i forhold til formålet om stikprøvevis grænsekontrol af Schengen-flyvninger. Ligesom med ANPG er det i øvrigt uklart for os, hvordan denne databehandling af PNR personoplysninger reelt kan bidrage til den forholdsvis begrænsede grænsekontrol, som artikel 21 i Schengen-grænsekodeksen tillader.
Derudover skal vi henvise til Datatilsynets høringssvar af 3. februar 2006 vedr. L 94 i 2005-06 samlingen (Bilag 5 til L 94). Datatilsynet påpeger blandt andet, at flyselskaber i andre EU-lande vil være omfattet af persondataloven i deres hjemland, og at deres nationale persondatalov ikke nødvendigvis tillader at de ønskede oplysninger kan videregives til dansk politi.
Det vil være meget uheldigt, hvis dansk lov pålægger udenlandske flyselskaber forpligtelser over for danske politimyndigheder, som de udenlandske flyselskaber ikke har mulighed for at opfylde uden at overtræde deres nationale persondatalov. I den forbindelse skal vi henvise til en artikel i The Guardian 5. november 2014, ”German airlines face ban on UK landings without passenger lists”, hvor den britiske regering angiveligt truer med landingsforbud til tyske flyselskaber, hvis de ikke udleverer passagerlister til de britiske myndigheder.
Som bekendt er EU ved at behandle et direktivforslag om anvendelse af PNR-oplysninger til politimæssig efterforskning, jf. 2011/0023 (COD). Selv om Danmark ikke umiddelbart er omfattet af dette direktiv på grund af retsforbeholdet, vil det ikke virke fremmende for det europæiske samarbejde, hvis Danmark på nuværende tidspunkt selvstændigt begynder at lovgive om adgang til PNR-oplysninger hos flyselskaber i andre EU-lande. Et af formålene med PNR-direktivet er i øvrigt at harmonisere kravene til flyselskaberne i EU i forhold til adgang til PNR-oplysninger (betragtning 29 i Kommissionens direktivforslag).
For så vidt angår proportionalitetsvurderingen, er det værd at bemærke at PNR-direktivet er begrænset til terrorhandlinger og grov kriminalitet, mens Justitsministeriet med nærværende lovforslag søger at indsamle PNR-oplysninger til almindelig grænsekontrol for Schengenflyvninger. PNR-direktivet er baseret på en push metode, og ikke en direkte adgang til bookingsystemerne som i Justitsministeriets lovforslag (pull metode). I betragtning 15 i Kommissionens direktivforslag fremhæves det, at push-metoden giver en højere grad af persondatabeskyttelse end pull-metoden. Justitsministeriets lovforslag synes altså at være mere vidtgående og mere indgribende i retten til privatliv og persondatabeskyttelse end PNR-direktivforslaget.
Endelig undrer det IT-Politisk Forening, at Justitsministeriet fremsætter endnu et lovforslag, som giver politiet direkte adgang til flyselskabernes bookingsystemer. Så vidt vi har forstået det, er hjemlen fra 2006 i hhv. udlændingelovens § 38, stk. 4 og luftfartslovens § 148 a ikke udnyttet endnu på grund af tekniske vanskeligheder.
I besvarelse af flere REU spørgsmål om PNR-adgang mellem 2010 og 2012, senest REU Alm. del, 2011-12, spørgsmål 726, skriver Justitsministeren, at ”luftfartsselskabernes bookingsystemer er mere teknisk komplicerede og uensartede end oprindeligt antaget.” Det fremgår ligeledes af besvarelsen af spørgsmål 726, at Justitsministeren vil afvente vedtagelsen af et europæisk PNR-system, da fælles tekniske krav til luftfartsselskaberne vil forenkle arbejdet med etablering af et dansk PNR-system. EU PNR-direktivet er stadig under behandling i Rådet og Europaparlamentet.
I REU, Alm. del 2014-15, bilag 42 skriver Justitsministeren at hjemlen til PNR-adgang (passageroplysninger) i udlændingelovens § 38, stk. 4 (vedr. kontrol ved de ydre Schengengrænser) vil blive udmøntet i forbindelse med vedtagelsen af nærværende lovforslag. Det nævnes ikke i bilag 42 at denne hjemmel er fra 2006.
Enten har Rigspolitiet pludselig løst de tekniske problemer, som i 2012 fik Justitsministeriet til endeligt at opgive at udmønte den direkte adgang til bookingsystemerne som blev vedtaget i 2006, eller også vil nærværende lovforslag være den tredje lovbestemmelse om direkte adgang til flyselskabernes bookingsystemer, som ikke kan udmøntes i praksis på grund af tekniske problemer.