Høringssvar vedr. forslag til lov om indsamling, anvendelse og opbevaring af oplysninger om flypassagerer (PNR-loven)
Lovforslaget ændrer det danske PNR-system således at ansvaret for at indsamle PNR-oplysninger fra luftfartsselskaberne flyttes fra Toldstyrelsen til Rigspolitiet. Det betyder at Rigspolitiet som noget nyt får systematisk adgang til PNR-oplysninger i forbindelse med politiets opgaver med at forebygge, efterforske, afsløre og retsforfølge terrorisme og grov kriminalitet. Den nuværende adgang til PNR-oplysningerne for PET og FE bevares, og den bliver i praksis udvidet, fordi PET og FE kommer til at behandle flere PNR-oplysninger om borgerne.
Hensigten med lovforslaget er at ændre det danske PNR-system til en ordning, som overordnet svarer til PNR-direktivets bestemmelser. Det skal bane vejen for en aftale mellem Danmark og Den Europæiske Union om dansk tilknytning til PNR-direktivet. Selv om det nye danske PNR-system er baseret på PNR-direktivet, er der dog en række udvidelser, som ikke er forenelige med PNR-direktivet og som kraftigt forringer databeskyttelsen for borgerne. Det kan meget vel blive et problem for Danmark, hvis Den Europæiske Union i forbindelse med en eventuel aftale om dansk tilknytning til PNR-direktivet stiller krav til databeskyttelsen i den danske behandling af PNR-oplysninger.
I forhold til kravene om databeskyttelse i PNR-direktivet er det især den generelle og udifferentierede adgang for PET og FE, som er problematisk i det danske lovforslag. Der opbygges reelt et dualt PNR-system for efterretningstjenesterne, som er indlejret i PNR-enheden hos Rigspolitiet. Rigspolitiet er dataansvarlig for PNR-enheden, men Rigspolitiet har ingen indflydelse på den behandling af PNR-oplysninger som PET og FE foretager.
Derudover indebærer lovforslagets mulighed for at PNR-oplysninger på systematisk basis kan behandles i POL-INTEL, at de indsamlede PNR-oplysninger kan blive behandlet til formål som er uforenelige med PNR-direktivet, og at de indsamlede PNR-oplysninger kan blive gemt i længere tid end PNR-direktivet tillader.
Med lovforslagets PNR-system vil der uundgåeligt ske behandling af følsomme personoplysninger, selv om dette ikke er tilladt efter lovforslaget (og PNR-direktivet).
Efter IT-Politisk Forenings opfattelse er det foreslåede danske PNR-system i strid med Charter om Grundlæggende Rettigheder (”Charteret”), jf. de præmisser som fremgår af EU-Domstolens udtalelse 1/15 om EU-Canada PNR-aftalen af 26. juli 2017. Justitsministeriet vurderer også dette spørgsmål, men ser alene på to elementer af de kumulative krav, som EU-Domstolen opstiller for at en PNR-ordning er forenelig med artikel 7 og 8 samt artikel 52, stk. 1 i Charteret.
Disse overordnede bemærkninger uddybes i det følgende.
Sammenligning med PNR-direktivet
IT-Politisk Forening er opmærksom på, at PNR-direktivet ikke er bindende for Danmark på grund af retsforbeholdet. Når vi alligevel har lavet en sammenligning med PNR-direktivet skyldes det lovforslagets erklærede hensigt om at ”etablere en ordning i Danmark, der overordnet svarer til den ordning, som de øvrige EU-medlemsstater har etableret efter direktivet.” Derudover finder EU-retten inklusive Charteret efter Justitsministeriets egen vurdering anvendelse på den danske PNR-ordning, uanset den danske undtagelse fra PNR-direktivet, jf. pkt. 8 i lovforslagets almindelige bemærkninger.
PNR-direktivet har et setup hvor en PNR-enhed modtager PNR-oplysninger fra luftfartsselskaberne. PNR-enheden behandler oplysninger til tre formål:
- Vurdering af passagerne forud for deres planlagte ankomst med en vis profilering efter kriterier fastsat i direktivet.
- Reagere på begrundede forespørgsler fra kompetente myndigheder om at behandle og videregive PNR-oplysninger i konkrete sager for at forebygge, efterforske, afsløre og retsforfølge terrorhandlinger og grov kriminalitet.
- Analysere PNR-oplysningerne med henblik på at ajourføre eller fastsætte nye kriterier for vurderingen af passagerer forud for deres ankomst.
I det foreslåede danske PNR-system er PNR-enhedens behandling af personoplysninger udvidet på to punkter.
For det første kan vurderingen af passagererne før deres ankomst ske ved hjælp af tværgående informationsanalyser jf. politilovens § 2 a, altså brug af POL-INTEL. Det indebærer en mere vidtgående og indgribende forhåndsvurdering og profilering end hvad PNR-direktivet umiddelbart tillader. Derudover har analyser i POL-INTEL den konsekvens, at PNR-oplysningerne kan behandles til nye formål, som ikke nødvendigvis er forenelige med PNR-direktivet, og at de kan opbevares i længere tid end PNR-direktivet tillader. Dette punkt uddybes særskilt i afsnittet nedenfor om behandling af PNR-oplysninger i POL-INTEL.
For det andet har PET og FE fået status som en slags kompetent myndighed i forhold til PNR-enheden, men med kraftigt udvidede beføjelser til at modtage PNR-oplysninger. PET og FE skal ikke fremsætte begrundede anmodninger, men kan modtage PNR-oplysninger alene hvis det kan have betydning for henholdsvis PET’s opgaver med forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13 og FE’s opgaver med varetagelse af tjenestens virksomhed rettet mod forhold i udlandet.
Kriteriet ”kan have betydning” indebærer efter bemærkningerne til PET-lovens § 3, at PET og FE kan få adgang til oplysningerne medmindre det på forhånd kan udelukkes, at de er relevante for tjenestens opgaver. Det er for alle praktiske formål en generel adgang til alle indsamlede PNR-oplysninger, svarende til at der blev opbygget en dual PNR-enhed hos PET og FE (den fulde PNR-database i PNR-enheden kan i princippet spejles; hos FE dog kun for udenlandske borgere). Dette duale PNR-system for efterretningstjenesterne er organisatorisk indlejret i PNR-enheden hos Rigspolitiet, fordi PET og FE kan udstationere medarbejdere til denne enhed. Selv om Rigspolitiet er dataansvarlig for behandlingen af PNR-oplysninger i PNR-enheden, har Rigspolitiet ingen indflydelse på den behandling (søgning og videregivelse), som foretages for PET og FE.
I forhold til de maskerede PNR-oplysninger (når PNR-oplysninger opbevares af PNR-enheden efter 6 måneder) har PET og FE også adgang til disse oplysninger, herunder adgang til afmaskering, på væsentligt mere lempelige vilkår end hvad PNR-direktivet tillader for kompetente myndigheders adgang til maskerede PNR-oplysninger. Hvis PET og FE tidligere har udnyttet deres bulk-adgang (via ”kan have betydning” kriteriet) til at opbygge fulde kopier af PNR-enhedens database, vil behovet for at få adgang til maskerede PNR-oplysninger fra den danske PNR-enhed muligvis være beskedent.
Den danske PNR-ordning er omfattet af EU-retten, men EU-rettens regler om databeskyttelse (implementeret via retshåndhævelsesloven og det fremsatte PNR-lovforslag) finder alligevel ikke anvendelse når PNR-enheden under Rigspolitiet behandler PNR-oplysninger for PET og FE. Det er temmelig ulogisk, og det udhuler i betydeligt omfang EU-rettens databeskyttelse, fordi PET-loven og FE-loven har langt mere lempelige regler for behandling af personoplysninger og for uafhængigt tilsyn med denne behandling af personoplysninger. Når der behandles PNR-oplysninger efter FE-loven, er der intet tilsyn med behandlingen af personoplysninger for personer som ikke er hjemmehørende i Danmark (uddybes nedenfor).
Efterretningstjenesternes adgang til PNR-oplysninger ud fra ”kan have betydning” kriteriet gælder også, hvis den danske PNR-enhed modtager PNR-oplysninger fra PNR-enheder i andre EU-medlemsstater. PET og FE kan sågar efter den danske PNR-lov anmode andre EU PNR-enheder om oplysninger på mere lempelige kriterier end kompetente myndigheder, der skal holde sig inden for rammerne af databeskyttelsesreglerne i PNR-direktivet (og EU-retten i øvrigt).
Udveksling af PNR-oplysninger mellem EU-medlemsstaterne er et væsentligt element i det europæiske PNR-system. Den danske regering forventer formentlig, at Danmark kan deltage i denne dataudveksling, hvis der på et fremtidigt tidspunkt opnås en dansk tilknytning til PNR-direktivet. Det virker dog meget usandsynligt, at andre EU-medlemsstater vil videregive PNR-oplysninger til den danske PNR-enhed, hvis oplysningerne fra den danske PNR-enheden kan videregives til PET og FE på betingelser, som ikke overholder EU-rettens regler om databeskyttelse.
Hvis videregivelsen til Danmark sker som 3. land i forhold til PNR-direktivet (en anden mulighed ifølge lovforslaget, eventuelt midlertidigt indtil en mere fast dansk tilknytning til PNR-direktivet er på plads), må denne videregivelse jf. PNR-direktivets artikel 11, stk. 3 kun ske, hvis medlemsstaterne har forvisset sig om, at modtageren (altså Danmark) har til hensigt at anvende PNR-oplysningerne til formål, der er forenelige med PNR-direktivets betingelser og beskyttelsesregler. Det vil ikke være tilfældet, hvis den danske PNR-enhed behandler de modtagne PNR-oplysninger i henhold til den danske PNR-lov (på grund af ”bagdøren” til PET og FE, som ophæver væsentlige dele af PNR-direktivets beskyttelsesregler).
PET’s adgang til PNR-oplysninger
Ligesom i det nuværende danske PNR-system (hvor Toldstyrelsen fungerer som PNR-enhed), kan PET indhente PNR-oplysninger fra PNR-enheden, hvis det kan have betydning for tjenestens opgaver med forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13.
Formelt vil det fremover formentlig ske ved at PET-medarbejdere i PNR-enheden hos Rigspolitiet behandler PNR-oplysninger med henblik på videregivelse til PET. Behandlingen for PET i PNR-enheden (eksempelvis søgninger og databaseudtræk) og behandlingen efter at PET har modtaget PNR-oplysningerne sker efter PET-lovens databeskyttelsesregler. Kriteriet ”kan have betydning” sætter reelt ingen begrænsninger for hvilke oplysninger der kan videregives til PET, eftersom videregivelse kan ske, medmindre det på forhånd kan udelukkes at oplysningerne har relevans for PET.
I forhold til spørgsmålet om PET’s indhentning af PNR-oplysninger svarer den nye ordning til det nuværende PNR-system (PET-lovens § 4, stk. 2 og 3). Alligevel sker der en kraftig udvidelse i mængden af PNR-oplysninger, som PET kommer til at behandle om borgerne (både danske og udenlandske borgere). Hvis PET under de gældende regler indhenter PNR-oplysninger om en gruppe af personer, som ikke på forhånd er identificeret, for eksempel alle der rejser til bestemte destinationer eller har bestemte rejsemønstre, skal PET, så hurtigt som forholdene tillader det, foretage en vurdering af, om de personer, som oplysningerne vedrører, er af relevans for tjenestens opgavevaretagelse. Det følger af PET-bekendtgørelsens § 8, stk. 5 og bemærkningerne til PET-lovens § 4, stk. 2 (jf. pkt. 4.4.7 i de almindelige bemærkninger til lov nr. 1881 af 29/12/2015).
Disse bestemmelser i PET-loven foreslås imidlertid ophævet, således at det fremover alene vil være PET-lovens generelle bestemmelser (§§ 9 og 9 a) for sletning af oplysninger, der ikke længere er relevante, som finder anvendelse på de indhentede PNR-oplysninger. Det betyder, at PET ikke har nogen forpligtelse til at vurdere, om de indhentede PNR-oplysninger er relevante, hverken på et tidspunkt umiddelbart efter indhentningen eller senere. PET er heller ikke forpligtet til at slette enkeltoplysninger i dokumenter, hvis øvrige oplysninger i dokumentet opfylder PET-lovens behandlingskriterier. Et ”dokument” kan i den forbindelse være en elektronisk fil (database) med potentielt en større mængde enkeltoplysninger.
Den forventelige konsekvens af denne ændring af PET-loven vil være en betydelig informationsophobning med oplysninger om borgernes flyrejser. PET skal efter lovændringen i 2016 ikke længere løbende vurdere relevansen af de indhentede personoplysninger, og den eneste reelle opbevaringsbegrænsning er et generelt slettekrav efter 15 år.
Hvis borgerne ønsker at ikke-relevante PNR-oplysninger slettes på et tidligere tidspunkt, kan det kun ske ved at borgerne gør brug af den indirekte indsigtsordning i PET-lovens § 13, dvs. at borgerne anmoder Tilsynet med Efterretningstjenesterne (TET) om at undersøge, om PET uberettiget behandler oplysninger om dem. Kun i den situation skal forældede PNR-oplysninger slettes om den konkrete borger, som har indgivet en klage til TET.
IT-Politisk Forening vil anbefale, at de nuværende bestemmelser i PET-bekendtgørelsens § 8, stk. 5 videreføres i den nye danske PNR-ordning.
FE’s adgang til PNR-oplysninger
Under den gældende lovgivning (FE-lovens § 3, stk. 4) kan FE indhente PNR-oplysninger hos Toldstyrelsen, hvis oplysningerne kan have betydning for varetagelsen af tjenestens virksomhed rettet mod forhold i udlandet, og hvis oplysningerne vedrører personer der ikke er danske statsborgere.
Med PNR-lovforslaget skabes en udvidelse af FE’s mulighed for at modtage PNR-oplysninger fra PNR-enheden, idet FE fremover vil kunne modtage oplysninger om i Danmark hjemmehørende personer, hvis oplysningerne angår bestemte personer. I dag kan FE slet ikke modtage oplysninger om danske statsborgere. For udenlandske borgere (ikke i Danmark hjemmehørende personer) er der mulighed for ”bulk” indhentning uden reelle begrænsninger, eftersom oplysningerne kan videregives til FE, medmindre det på forhånd kan udelukkes, at oplysningerne er relevante for tjenestens virksomhed.
Rent praktisk vil det specielt for flyvninger inden for Schengen-området være forbundet med betydelige vanskeligheder for FE at fastslå, om der er tale om en i Danmark hjemmehørende fysisk person. Det skyldes at PNR-oplysninger for flyvninger inden for Schengen-området ikke vil indeholde pas-oplysninger eller anden sikker identifikation, som kan bruges til at fastslå personens nationalitet. Det er heller ikke givet, at PNR-oplysningerne indeholder (post) adresseoplysninger (som kan bruges til at fastslå, om der er tale om en i Danmark hjemmehørende fysik person), da flybilletter i dag er elektroniske.
FE kan behandle de modtagne PNR-oplysninger til alle formål som vedrører tjenestens virksomhed rettet mod forhold i udlandet. Ifølge bemærkningerne til FE-lovens § 3, stk. 4 omfatter dette sågar formål som tjenestens forsøg på kilderekruttering, hvilket må være uforeneligt med de formål, som PNR-direktivet tillader i artikel 1, stk. 2 (forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet).
Behandlingen af PNR-oplysninger hos FE sker i henhold til FE-loven. Databeskyttelsesreglerne i FE-loven gælder alene for i Danmark hjemmehørende fysiske personer. Der er således ingen databeskyttelsesregler for udenlandske borgere (som ikke er i Danmark hjemmehørende fysiske personer). TET fører ikke tilsyn med behandlingen af personoplysninger for udenlandske borgere, og udenlandske borgere har ikke mulighed for at indgive en klage til TET, hvis de mener at FE uberettiget behandler oplysninger om den.
Alle indgreb i de rettigheder som er sikret af EU-Charteret skal respektere det væsentligste indhold af disse rettigheder, jf. artikel 52, stk. 1 i Charteret. Efter retspraksis fra EU-Domstolen i sagen C-362/14 (præmis 95), omfatter det væsentligste indhold af den grundlæggende ret til effektiv domstolsbeskyttelse (Charteret artikel 47) muligheden for retsmidler med henblik på adgang til personoplysninger, som vedrører den pågældende, eller til at få sådanne oplysninger berigtiget eller slettet. Denne mulighed har udenlandske borgere imidlertid ikke, når FE behandler personoplysninger om dem, eftersom de ikke kan indgive en klage til TET eller en anden uafhængig databeskyttelsesmyndighed.
EU-retten finder som minimum anvendelse på PNR-enhedens videregivelse af personoplysninger til FE. Hvis de videregivne personoplysninger behandles på en måde, hvor end ikke det væsentligste indhold af de grundlæggende rettigheder i Charteret respekteres, kan selve videregivelsen næppe være i overensstemmelse med EU-retten (Charteret). I så fald ville beskyttelsen under EU-retten, når luftfartsselskaber videregiver PNR-oplysninger til den danske PNR-enhed, blive frataget enhver effektiv virkning.
Derudover kan andre EU-medlemsstater som nævnt ovenfor kun videregive PNR-oplysninger til den danske PNR-enhed, hvis behandlingen i Danmark sker i overensstemmelse med PNR-direktivets betingelser og beskyttelsesforanstaltninger. Det vil ikke være tilfældet ved videregivelse til den danske PNR-enhed, fordi PNR-oplysningerne herfra kan videregives til FE, hvor der ikke gælder regler om databeskyttelse for udenlandske borgere.
Behandling af PNR-oplysninger i POL-INTEL
I forbindelse med forhåndsvurderingen af passagerer før deres planlagte ankomst giver PNR-direktivet mulighed for at sammenholde PNR-oplysninger (for eksempel navn og pasnummer) med oplysninger i databaser, som er relevante med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet, herunder databaser vedrørende personer der eftersøges (eksempelvis Schengen Information System, SIS), samt at behandle PNR-oplysninger efter forud fastsatte kriterier. Det sidste kan indebære en risikoprofilering ud fra rejsemønstre eller andre PNR-oplysninger.
Efter bemærkningerne til PNR-lovforslagets § 11 kan forhåndsvurderingen i det danske PNR-system også omfatte udførelse af tværgående informationsanalyser, jf. politilovens § 2 a, dvs. brug af POL-INTEL.
Hvis den tværgående informationsanalyse med POL-INTEL gør brug af PNR-oplysninger (for eksempel samkøring af PNR-oplysninger med øvrige oplysninger om personen i POL-INTEL), vil PNR-oplysningerne i PNR-enheden på systematisk basis blive overført (indsamlet) til behandling i POL-INTEL systemet.
Når PNR-oplysninger på denne måde overføres til POL-INTEL, vil det ikke være muligt at sikre, at den videre behandling af PNR-oplysningerne sker i overensstemmelse med PNR-lovens bestemmelser, eksempelvis sletning efter 5 år og maskering efter 6 måneder. Det vil heller ikke være muligt at sikre, at PNR-oplysningerne kun må behandles til formål vedr. terrorhandlinger eller grov kriminalitet, jf. bilag 2 til PNR-loven, som kan straffes med mindst 3 års fængsel.
Det skyldes at POL-INTEL bekendtgørelsen (BEK nr. 1078 af 20/09/2017) tillader genanvendelse af oplysninger, der tidligere er behandlet i POL-INTEL, jf. bekendtgørelsens § 7. De genanvendte personoplysninger kan anvendes i overensstemmelse med POL-INTEL bekendtgørelsens §§ 4 og 5, som ikke er begrænset til terrorhandlinger og grov kriminalitet. POL-INTEL bekendtgørelsen har desuden sine egne bestemmelser om sletning, som er væsentligt mildere end PNR-loven. Der er i POL-INTEL bekendtgørelsen eksempelvis ingen krav om maskering af PNR-oplysningerne efter 6 måneder som i PNR-lovens § 7, stk. 1.
PNR-lovens § 13, stk. 1 fastsætter, at politiet alene må behandle PNR-oplysninger med henblik på at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger og grov kriminalitet. Dette krav vil politiet ikke kunne overholde, hvis der på systematisk basis behandles PNR-oplysninger i POL-INTEL i forbindelse med forhåndsvurderingen af passagerer før deres forventede ankomst, fordi PNR-oplysningerne i POL-INTEL vil kunne blive genanvendt til formål, som ikke er forenelige med kravene i PNR-lovens § 13, stk. 1.
Behandling af følsomme personoplysninger
Det fremgår af lovforslagets § 9, stk. 1, at der ikke må ske behandling af følsomme personoplysninger hos PNR-enheden.
Når der sker behandling af PNR-feltet generelle bemærkninger (PNR-oplysning nr. 12 i bilag 1) vil det generelt ikke være muligt at sikre, at der ikke sker behandling af følsomme personoplysninger. Det skyldes at oplysninger om ønsker om særlige måltider, der kan afsløre religiøse præferencer, eller behov for særlig assistance, der kan give oplysninger om personens sundhedstilstand, normalt vil blive noteret som tekstoplysninger i PNR-feltet med generelle bemærkninger.
I det nuværende danske PNR-system er feltet ”generelle bemærkninger” helt undtaget fra behandling i PNR-systemet (ingen indsamling af dette felt). Det skyldes et hensyn om at sikre, at der ikke sker behandling af følsomme personoplysninger, jf. Justitsministerens besvarelse af spørgsmål 31, 40 og 42 i forbindelse med lovforslag L 23 i folketingsåret 2015-16.
IT-Politisk Forening vil anbefale, at feltet ”generelle bemærkninger” også udelades i det nye danske PNR-system, idet det er den eneste måde hvorpå det reelt kan sikres, at der ikke sker behandling af følsomme personoplysninger.
Dataansvar og tilsyn med behandlingen af PNR-oplysninger
PNR-direktivets artikel 15 kræver, at den nationale tilsynsmyndighed som fører tilsyn med behandlingen af personoplysninger efter retshåndhævelsesloven (altså Datatilsynet i Danmark) også skal føre tilsyn med behandlingen af PNR-oplysninger i PNR-enheden. Derudover skal PNR-enheden have en databeskyttelsesrådgiver, som er ansvarlig for at føre (internt) tilsyn med behandlingen af PNR-oplysninger og gennemførelsen af relevante beskyttelsesforanstaltninger (jf. PNR-direktivets artikel 5, stk. 1).
Det danske PNR-lovforslag kan ikke siges at overholde disse krav, hvilket skyldes den rolle, som PET og FE har fået tildelt i den danske PNR-enhed. Rigspolitiet er dataansvarlig for PNR-enheden, men Rigspolitiet har ikke nogen indflydelse på den behandling, som PET og FE foretager i selve PNR-enheden (eller som foretages for PET og FE i PNR-enheden). Databeskyttelsesrådgiveren i PNR-enheden må heller ikke føre internt tilsyn med den behandling, som foretages for PET og FE i PNR-enheden.
Datatilsynet er kun tilsynsmyndighed for den del af behandlingen af personoplysninger i PNR-enheden, som ikke udføres for PET og FE. Tilsynet med behandlingen som udføres for PET og FE i Rigspolitiets PNR-enhed er placeret hos Tilsynet med Efterretningstjenesterne (TET). Hos FE fører TET kun tilsyn med behandlingen af personoplysninger om i Danmark hjemmehørende fysiske personer, så en del af behandlingen af personoplysninger i PNR-enheden vil hverken være undergivet uafhængigt tilsyn af Datatilsynet eller TET, og heller ikke PNR-enhedens databeskyttelsesrådgiver.
Arbejdsdelingen mellem Datatilsynet og TET i PNR-enheden synes generelt at være meget uhensigtsmæssig. IT-Politisk Forening vil anbefale, at Datatilsynet får det fulde tilsynsansvar inklusive den behandling som foretages med henblik på videregivelse af PNR-oplysninger til PET og FE. Derudover bør Rigspolitiet have det fulde dataansvar for enhver behandling af personoplysninger i PNR-enheden, og PNR-enhedens databeskyttelsesrådgiver skal kunne føre internt tilsyn med enhver behandlingsaktivitet i PNR-enheden.
Overførsel af PNR-oplysninger fra Danmark til tredjelande
PNR-lovforslagets § 20 fastsætter betingelserne for at PNR-oplysninger kan overføres fra Danmark til et tredjeland. Det er uklart om det alene er betingelserne i § 20 som gælder for en overførsel af PNR-oplysninger til tredjelande, eller om § 20 skal forstås som yderligere betingelser i forhold til de generelle betingelser i retshåndhævelseslovens afsnit VII om overførsel af personoplysninger til tredjelande. Det bør præciseres i lovtekstens bemærkninger.
PNR-direktivets artikel 11, stk. 1, litra a kræver at betingelserne i artikel 13 i rammeafgørelse 2008/977/RIA er opfyldt (som nu er erstattet af direktiv (EU) 2016/680). Artikel 13 i rammeafgørelsen stiller krav om at det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau.
Vurdering af lovforslaget i forhold til EU-retten
EU-Domstolen har den 26. juli 2017 afgivet en udtalelse (A-1/15) om EU-Canada PNR-aftalen. Præmis 232 i denne udtalelse fastsætter de krav, som skal være opfyldt for at PNR-aftalen er forenelig med Charterets artikel 7 og 8 samt artikel 52, stk. 1.
I pkt. 8 til lovforslagets almindelige bemærkninger skriver Justitsministeriet, at den foreslåede danske PNR-ordning efter Justitsministeriets opfattelse må ”[..] anses for at leve op til de krav EU-Domstolen har opregnet i sagen.” Det begrunder Justitsministeriet med at det i lovforslaget ”klart og præcist fastsættes, hvilke oplysningerne der behandles, og at behandlingen af PNR-oplysninger er underlagt et uafhængigt tilsyn.” (almindelige bemærkninger, side 38 nederst).
IT-Politisk Forening uenig i denne vurdering. Præmis 232 i A-1/15 opstiller en række kumulative krav (de enkelte punkter er bundet sammen af ”og”). Justitsministeriet forholder sig alene til to af dem.
Blandt kravene i præmis 232 er følgende (af pladshensyn omtales kun i forkortet udgave de krav, som efterfølgende kommenteres i høringssvaret, men EU-Domstolens litrering i præmis 232 er videreført i listen nedenfor).
a) PNR-oplysningerne skal fastlægges klart og præcist.
c) Adgang til de indsamlede PNR-oplysninger efter indrejse (og bortset fra den automatiserede forhåndsvurdering), og ved enhver videregivelse, skal være underlagt materielle og processuelle betingelser, som er støttet på objektive kriterier. Adgangen skal undtagen i behørigt begrundede tilfælde være betinget af forudgående kontrol ved en domstol eller en uafhængig administrativ myndighed.
d) Efter flypassagernes udrejse (afgang) må der kun opbevares PNR-oplysninger for de personer hvor der foreligger objektive forhold, som gør det muligt at antage, at de kan frembyde en risiko i forbindelse med bekæmpelsen af terrorisme og grov kriminalitet.
f) Der skal fastsættes en ret til individuel underretning af flypassagererne, hvis deres PNR-oplysninger bliver brugt under deres ophold og efter udrejse, samt ved videregivelse til andre myndigheder.
g) Der skal sikres et uafhængigt tilsyn med behandlingen af PNR-oplysninger.
Justitsministeriet forholder sig i de almindelige bemærkninger pkt. 8 til punkt a) og g) af præmis 232.
Med hensyn til punkt a) fremgår det af udtalelsens præmis 160, at PNR-feltet ”generelle bemærkninger” ikke kan anses for at være afgrænset tilstrækkeligt klart og præcist. Det skyldes, at en sådan rubrik ikke giver nogen indikation af arten og omfanget af de oplysninger, som skal indsamles, og synes endda at kunne omfatte oplysninger, der ikke har nogen som helst forbindelse med formålet med indsamlingen af PNR-oplysninger.
I PNR-lovforslagets § 21 er der alene krav om dommerkendelse, hvis politiet eller Toldstyrelsen ønsker adgang til de lagrede PNR-oplysninger efter 6 måneder fra indsamlingstidspunktet (hvis afmaskerede PNR-oplysninger videregives). Der er ingen krav om dommerkendelse, hvis PET og FE vil have adgang til de indsamlede PNR-oplysninger (uanset tidspunktet for adgang), og det samme gælder for politiet og Toldstyrelsen hvis videregivelsen (adgang) sker før maskering (altså inden 6 måneder).
På den baggrund kan lovforslaget ikke siges at leve op til kravene i punkt c) af præmis 232.
Udtalelsen fra EU-Domstolen tillader kun lagring af PNR-oplysninger om samtlige passagerer, mens de befinder sig i Canada. Efter udrejse må der kun ske lagring af PNR-oplysninger for de personer, hvor objektive forhold gør det muligt at antage, at de kan frembyde en risiko i forbindelse med bekæmpelse af terrorisme og grov kriminalitet. Der skal med andre ord være tale om en målrettet lagring af PNR-oplysninger efter at flypassagererne er udrejst.
Det danske PNR-lovforslag tillader i lighed med PNR-direktivet lagring af PNR-oplysninger for samtlige flypassagerer i 5 år. Maskeringen efter 6 måneder er alene en pseudonymisering, og den ændrer ikke ved at der fortsat lagres personoplysninger efter 6 måneder. Bestemmelserne om lagring af PNR-oplysninger i den danske PNR-lovforslag kan dermed ikke siges at opfylde kravene i punkt d) af præmis 232, fordi der sker lagring af PNR-oplysninger om samtlige passagerer i 5 år.
I udtalelsen 1/15 (præmis 186-189) finder EU-Domstolen, at selve indsamlingen af PNR-oplysninger om alle flypassagerer, og lagring af disse oplysninger om alle flypassagerer indtil udrejsen, ikke overskrider grænsen for det strengt nødvendige. Derved adskiller A-1/15 sig ganske bemærkelsesværdigt fra EU-Domstolens domme om tele-logning i april 2014 (de forenede sager C-293/12 og C-594/12) og december 2016 (de forenede sager C-203/15 og C-698/15), hvor en generel og udifferentieret lagring af metadata om elektronisk kommunikation for samtlige abonnenter er i strid med artikel 7 og 8 samt artikel 52, stk.1 i Charteret. I disse to sager er kun en målrettet logning (lagring) forenelig med Charteret.
Det er dog vigtigt at være opmærksom på, at muligheden for lagring af PNR-oplysninger om alle personer kun eksisterer indtil udrejsetidspunktet. Derefter er kun en målrettet lagring af PNR-oplysninger forenelig med Charteret.
Derudover vil IT-Politisk Forening anføre, at muligheden for generel indsamling og lagring af PNR-oplysninger i præmis 186-189 i A-1/15 synes at være meget tæt knyttet til Chicagokonventionen, som tillader en stat at undersøge samtlige indrejsende passagerer i forbindelse med grænsekontrollen. En generel og udifferentieret indsamling af PNR-oplysninger med henblik på forhåndskontrol af passagererne inden ankomsttidspunktet med automatiseret behandling efter bestemte kriterier medfører ifølge udtalelsens præmis 187, at ”sikkerhedskontrollen, navnlig ved grænsen, bliver lettere og foretages hurtigere.”
Lovgivning vedrørende opbevaring af personoplysninger skal altid opfylde objektive kriterier, som fastlægger et forhold mellem de personoplysninger, der skal opbevares, og det forfulgte mål. Det fremhæves som et generelt krav i præmis 191 af A-1/15. Dette krav gælder også for den generelle indsamling af PNR-oplysninger og den generelle lagring af disse indtil udrejsen.
Ved flyvninger mellem Danmark og lande uden for Schengen, er Danmark i henhold til Schengen-grænsekodekset forpligtet til at foretage en kontrol af samtlige passagerer ved indrejse og udrejse. Her kan præmis 186-189 med rimelighed overføres til den danske PNR-ordning, idet adgang til PNR-oplysninger inden ankomst til Danmark vil kunne få sikkerhedskontrollen til at foregå hurtigere. Samtlige flypassagerer skal under alle omstændigheder kontrolleres ved indrejsekontrollen (passage af den ydre Schengen-grænse).
Den danske PNR-ordning omfatter imidlertid også flyvninger inden for Schengen-området og sågar indenrigsflyvninger i Danmark. Inden for Schengen-området må der som udgangspunkt ikke være grænsekontrol på systematisk basis, men alene stikprøvekontroller. For danske indenrigsflyvninger er der i særdeleshed ingen objektive forhold, som kan begrunde at der sker indsamling af PNR-oplysninger om samtlige passagerer.
Med punkt f) i præmis 232 kræver EU-Domstolen individuel underretning af flypassagerer, hvis deres PNR-oplysninger bliver brugt under deres ophold eller efter udrejse (altså bortset fra den automatiske forhåndskontrol af samtlige passagerer), og hvis oplysningerne videregives til myndighederne. Underretningen kan udskydes indtil det tidspunkt, hvor den ikke længere kan forstyrre en efterforskning. En sådan underretning er ifølge præmis 220 i udtalelsen ”de facto nødvendig for at gøre det muligt for flypassagererne at udøve deres ret til at anmode om indsigt i PNR-oplysninger, der vedrører dem, og til i givet fald at anmode om berigtigelse af disse samt til i overensstemmelse med chartrets artikel 47,
stk. 1, at have adgang til effektive retsmidler for en domstol.”
Det danske PNR-lovforslag indeholder ingen bestemmelser om underretning. Af de specielle bemærkninger til § 2 fremgår det indirekte, at der kun vil blive stillet generelle oplysninger om PNR-indsamlingen til rådighed for flypassagererne. Denne generelle underretning er imidlertid ikke tilstrækkelig til at opfylde oplysningspligten i databeskyttelsesretten, jf. præmis 223 i A-1/15.
For så vidt angår PNR-udtalelsens krav om et uafhængigt tilsyn, altså punkt g) i præmis 232, er der visse mangler i det danske lovforslag, idet der ikke er noget uafhængigt tilsyn når PNR-oplysninger vedr. udenlandske borgere behandles for FE. Tilsynet med Efterretningstjenesterne fører hos FE kun tilsyn med behandlingen af personoplysninger om i Danmark hjemmehørende fysiske personer.