Høringssvar om udkast til bekendtgørelse om politiets anvendelse af automatisk nummerpladegenkendelse (ANPG)

IT-Politisk Forening har følgende bemærkninger til udkast til bekendtgørelse om politiets anvendelse af automatisk nummerpladegenkendelse (ANPG).

Som generel bemærkning skal vi indledningsvist gøre opmærksom på, at politiet efter vores opfattelse ikke skal have lov til at indsamle oplysninger om ikke-mistænkte borgere. Vi vil derfor anbefale, at ANPG alene bruges til at gøre betjentene i en patrulje(vogn) opmærksom på, at de passeres af et køretøj som er efterlyst, hvorefter betjentene kan bruge den information til at beslutte, om de vil eftersætte og/eller standse køretøjet. IT-Politisk Forening ser ingen rimelig grund til at lave en registrering af borgernes færden på offentlig vej med ANPG, og slet ikke i det omfang som bekendtgørelsen giver mulighed for.

Regler om ANPG bør fastsættes ved lov

Bekendtgørelsen om ANPG udstedes i medfør af persondatalovens § 72. Efter IT-Politisk Forenings opfattelse er det ikke et tilstrækkeligt retsligt grundlag for at indføre automatisk nummerpladegenkendelse (ANPG) i Danmark.

Bekendtgørelsen giver politiet mulighed for at bruge ANPG i et sådant omfang, at der er tale om en indskrænkning af retten til privatliv og persondatabeskyttelse, som er sikret ved artikel 8 i Den Europæiske Menneskerettigheds­konvention (EMRK) samt artikel 7 og 8 i Charter om Grundlæggende Rettigheder (i det omfang Charteret finder anvendelse på en dansk ANPG-ordning).

En indskrænkning af retten til privatliv skal være fastsat ved lov, og det skal vurderes om indskrænkningen er nødvendig og proportional. Den generelle bestemmelse i persondataloven § 72 kan ikke være en tilstrækkelig specifik hjemmel til at gøre dette.

Risiko for at fotos af borgerne registreres

I ANPG-systemet kan der efter § 3 i bekendtgørelsen behandles fotos af køretøjet og oplysninger om nummerpladen, optagelses­tidspunkt samt køretøjets position. Oplysninger om nummerpladen vil fremkomme ved OCR (optical character recognition) af et digitalt foto af køretøjet rettet mod dets nummerplade. Efter OCR-behandlingen er fotoet af køretøjet ikke længere nødvendigt for formålet om nummerpladegenkendelse.

Som IT-Politisk Forening læser § 3, i sammenhæng med §§ 5-6 og §§ 8-9 hvor ”behandling” altid omfatter lagring, giver ANPG-bekendtgørelsen mulighed for at gemme fotos af køretøjet i længere tid end hvad der er påkrævet for at udføre OCR-behandlingen. Normalt vil OCR-behandlingen ske i det udstyr, som tager et foto af køretøjet, hvorfor lagring af fotoet på permanente lagringsmedier er unødvendigt.

Et foto af køretøjet vil med en vis sandsynlighed (afhængig af hvilken del af køretøjet kameraet indfanger) også indeholde et foto af føreren og eventuelle medpassagerer. Hvis ANPG-bekendtgørelsen giver politiet mulighed for at gemme fotos af køretøjet, er det indirekte en hjemmel til at opbygge statslige billedarkiver af borgere som færdes på offentlig vej. En senere behandling af disse fotos med automatisk ansigtsgenkendelse vil kunne bruges til systematisk at kortlægge hvem borgerne færdes sammen med på offentlig vej (medpassagerer i køretøjet).

Det bør præciseres i bekendtgørelsen, at fotos af køretøjet kun kan behandles med henblik på at udføre OCR for at aflæse nummerpladen, og at fotoet af køretøjet skal slettes umiddelbart efter at denne OCR er udført. I forhold til bekendtgørelsens formål om nummerpladegenkendelse er længerevarende registrering af fotos af køretøjet ikke en nødvendig behandling.

Kriterier for lagring af ANPG-data i hit-delen

Distinktionen mellem hit og no-hit delen af ANPG-systemet er helt centralt, eftersom der i hit-delen er en ubetinget hjemmel til at gemme oplysningerne i 3 måneder eller mere uden nogen geografisk eller tidsmæssig afgrænsning.

§ 5, nr. 1 og 2 omhandler nummerplader, som skal inddrages på grund af manglende syn eller manglende betaling af lovpligtig forsikring. I disse situationer giver ANPG mening, hvis det sker i en patruljevogn hvor betjentene vælger at eftersætte og/eller standse køretøjet med henblik på at inddrage nummerpladen. Derimod er det vanskeligt at se, at det skulle være proportionalt at gemme oplysningerne om køretøjets position i op til 3 måneder, som § 8, nr. 1 giver mulighed for. Hvis politiet vælger aktivt at opsøge køretøjet for at inddrage nummerpladen, vil dette formentlig primært ske på adressen for køretøjets registrerede ejer, og ikke på en position hvor køretøjet tidligere er observeret. En registrering i op til 3 måneder efter § 8, nr. 1 vil i praksis blive brugt til formål, som ikke har nogen relation til det manglende syn eller manglende betaling af forsikringspræmie.

IT-Politisk Forening skal anbefale, at hits på grund af manglende syn eller manglende betaling af forsikringspræmie alene bruges til at inddrage nummerpladen i forbindelse med en politipatrulje, og at der ikke sker registrering af historiske positionsoplysninger for køretøjet udover det som bekendtgørelsen tillader for no-hit-delen. Subsidiært bør det præciseres, at eventuelle historiske nummerpladeoplysninger skal slettes umiddelbart efter at det manglende syn eller manglende betaling af forsikringspræmie er bragt i orden.

§ 5, nr. 9-13 giver politiet mulighed for at placere en nummerplade i hit-delen, hvis køretøjet er knyttet til personer som er mistænkt for kriminalitet (enten af dansk politi eller af politiet i andre EU-lande). Derefter vil køretøjets position kunne registreres hver gang det passerer politiets ANPG-udstyr, og disse oplysninger kan gemmes i 1-2 år. Da bekendtgørelsen ikke sætter nogen øvre grænse for antallet af ANPG-kameraer i Danmark, er der reelt mulighed for at foretage en fuldstændig kortlægning af færden for de personer, som benytter køretøjet. Politiet har umiddelbart adgang til de registrerede positionsoplysninger uden dommerkendelse.

Ud fra en retspolitisk vurdering er dette stærkt betænkeligt. Hvis politiet ønsker at foretage observation eller teleobservation af en mistænkt person kræver det dommerkendelse jf. retsplejeloven, og der er en række materielle betingelser. Men § 5, nr. 9-13 i ANPG-bekendtgørelsen giver politiet mulighed for at foretage et indgreb, som reelt svarer til teleobservation, uden dommerkendelse og uden de materielle betingelser (herunder proportionalitetskrav) der findes i retsplejeloven.

IT-Politisk Forening skal anbefale, at der indføres krav om dommerkendelse i forbindelse med behandling af ANPG-oplysninger efter § 5, nr. 9-13.

Kriterier for lagring af ANPG-data i no-hit-delen

§ 6, stk 1 i sammenhæng med § 9, stk. 1 giver mulighed for at gemme oplysninger om no-hits i op til 30 dage. Oplysningerne skal være indsamlet som led i en målrettet politiindsats, som er tidsmæssigt og geografisk afgrænset, og hvor anvendelsen af ANPG vurderes at være af væsentlig betydning for indsatsen.

Det er positivt, at bekendtgørelsen udelukker, at der per automatik kan ske registrering af no-hits i hele landet på alle tidspunkter, men kriterierne i § 6, stk. 1 er desværre ikke særligt præcise. For eksempel er det uklart, om kravet om tidsmæssig afgrænsning alene betyder at en tilladelse til at anvende ANPG gives for en bestemt periode med mulighed for forlængelse i det uendelige, hvis betingelserne for den målrettede indsats fortsat er tilstede, eller om ”tidsmæssig afgrænsning” skal forstås således, at der ikke kan anvendes ANPG i et bestemt område hele tiden.

Folketinget har den 17. marts 2015 vedtaget L 95 2014/15, som giver politiet mulighed for at bruge ANPG i forbindelse med kontrol af lovligt ophold for udlændinge. Den nærmere udmøntning af brugen af ANPG til dette formål er overladt til Justitsministeren. Bemærkningerne til L 95, for eksempel afsnit 2.8.3.2, lægger op til en permanent brug af ANPG i grænseområderne. Det bidrager yderligere til uklarheden om, hvordan kravet om tidsmæssig afgrænsning skal fortolkes, herunder ikke mindst om denne tidsmæssige afgrænsning i praksis vil være reel.

§ 6, stk. 2 giver i sammenhæng med § 9, stk. 2 mulighed for at gemme ANPG-registreringer fra mobilt ANPG-udstyr (§ 2, nr. 2 og 3) med henblik på at tage stilling til, om oplysningerne er omfattet af § 5 eller § 6, stk. 1. Kun for det stationære ANPG-udstyr (§ 2, nr. 1) er der ikke en sådan hjemmel til ”teknisk lagring”.

Begrundelsen for at denne ”tekniske lagring” skulle være nødvendig for det mobile ANPG-udstyr synes at være temmelig uklar. Hvis det mobile ANPG-udstyr i patruljevognene skal have mulighed for at eftersætte eftersøgte køretøjer, må udstyret i patruljevognene have en lokal database med nummerplader i hit-delen. Denne lokale database kan opdateres løbende, når patruljevognen har dataforbindelse med centralen. Dermed kan det umiddelbart afgøres af det mobile udstyr, om betingelserne for registrering efter § 5 er til stede.

En registrering efter § 6, stk. 1 vil alene afhænge af om det mobile udstyr befinder sig inden for det geografiske område, hvor der p.t. er en særlig indsats. Det mobile ANPG-udstyr skal i sagens natur vide hvor det er for at kunne lave en registrering af nummerplader og deres position, og dermed kan det allerede inden scanningen afgøres om betingelserne for registrering efter § 6, stk. 1 er til stede.

Den tekniske lagring er problematisk, fordi § 10 i bekendtgørelsen giver mulighed for at udskyde sletning efter §§ 8-9 (herunder den tekniske lagring) i ekstraordinære situationer. Det kan ske efter beslutning fra rigspolitichefen, uden nogen form for domstolskontrol.

Dermed kommer den tekniske lagring til at fungere som en registrering af hele befolkningen uden tidsmæssig eller geografisk afgrænsning, som politiet kan bruge i visse situationer, efter politiets (rigspolitichefens) eget valg. Det er i strid med intentionen om at ANPG-registreringen ikke skal omfatte alle geografiske områder på alle tidspunkter, jf. også Datatilsynets udtalelse om ANPG af 17. marts 2015.

IT-Politisk Forening skal opfordre til at kriterierne for registrering af no-hits i § 6, stk. 1 præciseres. Derudover bør der ikke være mulighed for ”teknisk lagring” som i § 6, stk. 2, da behovet for teknisk lagring bør kunne elimineres fuldstændigt ved et hensigtsmæssigt design af politiets ANPG-system.

Adgang til og anvendelse af ANPG-data

Adgangen til ANPG-data er meget sparsomt reguleret i bekendtgørelsen, idet § 7 alene siger, at kun personer der er autoriseret dertil, må have adgang til personoplysninger i ANPG-systemet.

Ud fra § 7 kan ANPG-oplysningerne bruges af politiet til efterforskning af alle forbrydelser uanset strafferamme, og modsat brugen af for eksempel historiske teleoplysninger kan dette ske uden dommerkendelse.

Endvidere er brugen af ANPG-oplysninger ikke begrænset til opslag på konkrete mistænkte borgere/nummerplader. Eftersom bekendtgørelsen ikke har nogle reelle begrænsninger på anvendelsen af ANPG-oplysninger, kan disse også bruges til profiling og data-mining, hvor kørselsmønstre analyseres med henblik på at finde ukendte gerningsmænd eller forbrydelser. Der er også mulighed for rene fiskeekspeditioner, hvor politiet søger efter borgere som tilfældigvis har befundet sig i et bestemt område.

Denne type profiling og data-mining indebærer en klar risiko for at helt uskyldige borgere bliver mistænkt for kriminalitet alene fordi de har et måske lidt usædvanligt kørselsmønster eller fordi de tilfældigvis har befundet sig på det ”forkerte” sted.

IT-Politisk Forening finder det meget betænkeligt, at politiet har adgang til de lagrede ANPG-oplysninger uden dommerkendelse. Det gælder både opslag på konkrete borgere og eventuelle profiling/data-mining aktiviteter.

I forbindelse med vurderingen af den danske logningsbekendtgørelse efter dommen fra EU-domstolen om logningsdirektivet lagde Justitsministeriet stor vægt på, at de danske logningsregler havde en effektiv kontrol med adgangen til oplysningerne i form af krav om dommerkendelse, jf. ”Notat om betydningen af EU-Domstolens dom af 8. april 2014 i de forenede sager C-293/12 og C-594/12 (om logningsdirektivet) for de danske logningsregler” af 2. juni 2014. På grund af denne domstolskontrol i de danske logningsregler, som ikke var at finde i det underkendte logningsdirektiv, mente Justitsministeriet, at der ikke var grundlag for at antage, at de danske logningsregler skulle være i strid med retten til privatliv og persondatabeskyttelse i Charter om Grundlæggende Rettigheder.

Der er på mange punkter store ligheder mellem ANPG-registrering og telelogning. Formelt omfatter ANPG-registreringen ikke alle køretøjer på alle steder og tidspunkter, men det er samtidigt uklart hvad der reelt udelukkes ved kravet om tidsmæssig og geografisk afgrænsning i § 6, stk. 1. Derudover er der den tekniske lagring i § 6, stk. 2, der under dække af ”tekniske” behov reelt skaber en registrering af alle køretøjer på alle steder i 24 timer. Denne slettefrist kan udskydes alene ved beslutning af rigspolitichefen. Muligheden for profiling og data-mining (som ikke er til stede ved telelogning) gør alt andet lige indgrebet i borgernes ret til privatliv større.

Efter IT-Politisk Forenings opfattelse skal der være langt mere præcise regler for anvendelsen af ANPG-oplysninger, og vi mener, at der som udgangspunkt skal være krav om dommerkendelse. Det vil naturligvis forudsætte at ANPG reguleres i en lov, og ikke blot en bekendtgørelse.

Derudover bør der være klare regler for hvilken type profiling og data-mining analyse der kan laves på de indsamlede ANPG-oplysninger. Som udgangspunkt mener vi ikke, at profiling, data-mining og søgninger på ukendte personer bør være tilladt, da denne form for analyse er særligt indgribende i borgernes ret til privatliv, og indebærer en unødvendig risiko for, at uskyldige bliver udsat for mistanke alene på grund af deres kørselsadfærd.

Ret til indsigt i registrerede ANPG-oplysninger

I medfør af persondatalovens § 32, stk. 5 fastsætter § 12 i ANPG-bekendtgørelsen, at borgerne ikke har ret til indsigt i registrerede ANPG-oplysninger.

I bemærkningerne til persondatalovens § 32, stk. 5 nævnes politiets efterforsknings- og afgørelsesregistre i Det Centrale Kriminalregister som eksempler på anvendelsen af denne bestemmelse. Det virker meget vidtgående at udvide denne begrænsning af indsigtsretten til specielt ANPG-registreringer foretaget efter § 6. No-hit-delen er netop kendetegnet ved at alle køretøjer registreres, og der er derfor ikke er noget hensyn til at beskytte en igangværende politimæssig efterforskning (som med de eksempler, der er nævnt i bemærkningerne til § 32, stk. 5 i persondataloven).

Samtidig er der i ANPG-bekendtgørelsen ikke noget krav om, at politiet skal skilte med, hvor der sker ANPG-registrering efter § 6, stk. 1 (alle køretøjer), og der er heller ikke krav om at disse områder skal offentliggøres på en hjemmeside (som det er gældende praksis ved politiets visitationszoner).

På grund af den manglende oplysning om områder med ANPG-registrering af alle køretøjer efter § 6, stk. 1 og brugen af persondatalovens § 32, stk. 5 til at afskære borgerne fra retten til indsigt i oplysninger om dem selv, er det umuligt for borgerne at vurdere i hvilket omfang de bliver overvåget af staten med ANPG. Det er ikke acceptabelt i et demokratisk samfund.

Med den foreslåede ANPG-registrering har borgerne reelt færre rettigheder end i forhold til PET, hvor den indirekte indsigtsordning giver borgerne mulighed for at klage til Tilsynet med Efterretningstjenesterne, som derefter kan kontrollere om blandt andet slettekrav er overholdt.

IT-Politisk Forening skal anbefale, at indsigtsretten som minimum bevares for de ANPG-registreringer som udføres efter § 6, stk. 1, hvor alle køretøjer registreres, og hvor borgernes ret til indsigt ikke på nogen måde kan forstyrre politiets efterforskning.

Videregivelse af ANPG-oplysninger til andre myndigheder

Bekendtgørelsens § 15 giver mulighed for, at Rigspolitiet i ”fornødent omfang” kan videregive ANPG-oplysninger til andre offentlige myndigheder. Det kan både være danske og udenlandske offentlige myndigheder, herunder sågar udenlandske myndigheder og organisationer i usikre tredjelande, hvis en af undtagelsesbestemmelserne i persondatalovens § 27, stk. 3 kan anvendes.

Efter IT-Politisk Forenings opfattelse bør der kun i meget begrænsede situationer være mulighed for at videregive ANPG-oplysninger til andre myndigheder, og de videregivne oplysninger skal være begrænset til en konkret borger efter en vurdering af den konkrete situation.

Der bør ikke under nogen omstændigheder være mulighed for ”bulk”-videregivelse af store mængder ANPG-oplysninger til andre myndigheder (danske eller udenlandske), som kunne have interesse i disse oplysninger til profiling eller data-mining, herunder registersamkøring. Eksempler kunne være Udbetaling Danmark, som samkører en lang række offentlige registre med henblik på at producere de såkaldte ”undringslister”.

Tilsyn med politiets behandling af ANPG-oplysninger

Efter bekendtgørelsens §§ 17-18 skal Rigspolitiet foretage logning af behandling af personoplysninger i ANPG samt udføre stikprøvekontrol af disse logfiler. Dermed er der lagt op til at politiet alene skal kontrollere sig selv.

Efter IT-Politisk Forenings opfattelse er der behov for en uafhængig kontrol med politiets behandling af ANPG-oplysninger, eventuelt foretaget af Datatilsynet.

Denne kontrol skal sikre at slettefrister overholdes og at forskrifterne for politibetjentes adgang til oplysningerne overholdes. Derudover er der behov for en uafhængig kontrol med politiets beslutninger om udvælgelse af områder til målrettet ANPG-indsats efter § 6, stk. 1 og brugen af bemyndigelsen i § 10 til at udskyde sletning i ekstraordinære situationer.