BAKGRUNN (fra stortingsproposisjonen)

1. Innledning og bakgrunn
Rådet for den europeiske union vedtok 27. november 2008 rammebeslutning 2008/977/JIS om personvern i tredje søyle, som er en rammebeslutning om personvern i forbindelse med politi- og strafferettssamarbeid. Rettsakten innebærer en videreutvikling av Schengen-regelverket.

Rammebeslutningen regulerer behandling av personopplysninger innenfor rammene av politisamarbeid og annet rettslig samarbeid i straffesaker. Det er iverksatt ulike tiltak for å lette informasjonsflyten innad i EU-området, og denne rettsakten kommer som en følge av denne utviklingen.

Det følger av fortalens punkt 45 at rettsakten omfattes av avtale av 18. mai 1999 om Norge og Islands tilknytning til gjennomføringen, anvendelsen og videreutviklingen av Schengen-regelverket. Norske eksperter har i samsvar med avtalen deltatt i utformingen av regelverket. I henhold til Schengen-avtalen artikkel 8 nr. 2 bokstav a skal EUs råd underrette Norge om vedtak om nye rettsakter som innebærer en videreutvikling av Schengen-regelverket. Norge skal på selvstendig grunnlag avgjøre om innholdet i rettsaktene skal godtas fra norsk side og innarbeides i norsk rett.

Gjennomføring av rammebeslutningen krever lovendring og bevilgningsvedtak, i tillegg til at den anses å være en sak av særlig viktighet. Stortingets samtykke til godtakelse av rammebeslutningen er derfor nødvendig i medhold av Grunnloven § 26, annet ledd.

Rammebeslutningen i uoffisiell norsk oversettelse følger som trykt vedlegg til proposisjonen.

2. Generelt om rammebeslutningen
Rammebeslutningen er hjemlet i EU-traktaten artikkel 30 om politisamarbeid, og artikkel 31 om rettslig samarbeid i straffesaker. Videre følger det av artikkel 34 nr. 2 bokstav b, at Rådet, for å bidra til oppfyllelse av EUs målsetninger, på initiativ fra en medlemsstat eller Kommisjonen, kan vedta rammebeslutninger om harmonisering av medlemsstatenes lover og forskrifter.

Rammebeslutningen kommer til anvendelse på opplysninger som utveksles mellom medlemsstatene eller mellom en medlemsstat og myndigheter som er opprettet ved rettsakter vedtatt av Rådet i medhold av EU-traktaten avsnitt VI, med det formål å forebygge, etterforske, oppdage og forfølge straffbare handlinger. Rammebeslutningen gjelder når opplysninger viderebehandles i mottakerstaten, ved automatisk behandling av personopplysninger og ved øvrig behandling av opplysninger i registre. Nasjonale sikkerhetsmyndigheters behandling av personopplysninger ligger utenfor rammebeslutningens anvendelsesområde.

Rammebeslutningen regulerer innsamling, bruk og sekundærbruk av opplysninger, og inneholder blant annet regler om lovligheten av behandling av opplysninger. Sentralt står prinsippene om at opplysninger bare må behandles for nærmere angitte formål, samt at opplysningene må være nødvendige, relevante, korrekte og tilstrekkelige. Instrumentet inneholder sentrale rettigheter for den opplysningen gjelder, herunder rett til innsyn og rett til å kreve opplysninger rettet, slettet eller sperret. Videre er det nedfelt regler om taushetsplikt, erstatning, tilsyn, informasjonssikkerhet og konfidensialitet.

Selv om rammebeslutningen i utgangspunktet ikke kommer til anvendelse på intern behandling av opplysninger, oppfordres medlemsstatene politisk i fortalen til også å benytte reglene nasjonalt. Enkelte av rammebeslutningens grunnleggende regler skal imidlertid gjelde også for nasjonal behandling, eksempelvis regelen om at behandlingen må være lovlig, proporsjonal og formålsbestemt. Formålet med å gi disse reglene nasjonal anvendelse, er å sikre at informasjon som senere kan bli utlevert til en annen medlemsstat eller en myndighet opprettet ved en rettsakt vedtatt av Rådet i medhold av EU-traktaten avsnitt VI, har blitt behandlet i tråd med grunnleggende personvernprinsipper.

3. Nærmere om innholdet i rammebeslutningen
I det følgende gjennomgås enkelte av rammebeslutningens sentrale bestemmelser:

Artikkel 3 inneholder grunnleggende bestemmelser om rettsmessighet, forholdsmessighet og formålsbestemthet ved behandling av opplysninger, herunder at opplysningene må være relevante og tilstrekkelige.

Artikkel 4 inneholder regler om retting, sletting og sperring. Det følger av nr. 1 at uriktige opplysninger skal rettes, suppleres eller oppdateres. Etter nr. 2 skal personopplysninger slettes eller anonymiseres når de ikke lenger er nødvendige for det formålet de ble innhentet for eller videre anvendt. Det fremgår uttrykkelig at bestemmelsen ikke er til hinder for at et sett av opplysningene arkiveres i samsvar med nasjonal lovgivning. For det tilfelle at sletting kan ramme den registrertes legitime interesser, foreskriver nr. 3 at opplysningene heller skal sperres. Sperrede data skal behandles til det formål som forhindret sletting. Nr. 4 inneholder en særregel for så vidt gjelder ­personopplysninger i en rettsavgjørelse eller en mappe knyttet til en rettsavgjørelse. Bestemmelsen foreskriver at retting, sletting og sperring her skal skje i tråd med nasjonale rettergangsregler. Tilsvarende gir artikkel 18 den registrerte rett til å kreve slik retting og sletting.

Artikkel 5 gir anvisning på at det skal fastsettes passende frister for sletting eller regelmessig kontroll av behovet for fortsatt lagring, samt at det etableres rutiner som sikrer at fristene blir overholdt.

Artikkel 7 pålegger de ansvarlige myndigheter å treffe nødvendige tiltak for å unngå at det videreformidles opplysninger som er uriktige, ufullstendige eller ikke lenger aktuelle. Dersom det er knyttet usikkerhet til opplysningenes kvalitet, skal mottakeren informeres om dette. Videre fremgår det av nr. 2 at mottakeren straks skal varsles dersom det viser seg at tidligere tilsendte opplysninger er uriktige mv.

Artikkel 10 gir anvisning på at enhver videreformidling av personopplysninger må protokolleres eller på annen måte kunne dokumenteres.

Artikkel 11 regulerer til hvilke formål personopplysninger, som ble mottatt av en annen medlemsstat, kan behandles, mens artikkel 13 og 14 gir nærmere bestemmelser om til hvilke formål eller under hvilke omstendigheter slike opplysninger kan videreformidles til tredjeland eller til private.

Artikkel 16 i rammebeslutningen krever at medlemsstatene skal sikre at den registrerte informeres om at det samles inn eller behandles opplysninger om ham. Når opplysningene overføres mellom medlemsstater, kan en stat – i tråd med nasjonal rett – anmode den andre om ikke å informere den registrerte. I slike tilfeller skal ikke sistnevnte stat informere den registrerte uten den andre statens samtykke.

Artikkel 17 regulerer retten til innsyn. Av nr. 1 fremgår det at rettssubjektet har krav på enten, etter forespørsel, å motta bekreftelse fra den behandlingsansvarlige om hvorvidt opplysninger om vedkommende har blitt utlevert eller gjort tilgjengelige og informasjon om mottaker og hvilke opplysninger som blir behandlet («direkte innsyn»), eller bekreftelse fra nasjonal tilsynsmyndighet om at de nødvendige kontroller har funnet sted («indirekte innsyn»). Nr 2 åpner for mulighet til å gjøre unntak fra retten til direkte innsyn, når dette er et nødvendig og proporsjonalt tiltak for å ivareta visse hensyn, herunder hensynet til etterforskningen, nasjonal sikkerhet og rettighetene til tredjemann.

Artikkel 21 inneholder regler om taushetsplikt. Bestemmelsens nr. 1 foreskriver at bare kom­petent myndighet (jf. definisjonen i artikkel 2 bokstav i) kan behandle opplysninger som faller inn under rammebeslutningens anvendelsesområde, med mindre andre myndigheter er rettslig forpliktet til det. Med kompetent myndighet siktes det til myndighet opprettet ved en rettsakt vedtatt av Rådet i medhold av EU-traktaten avsnitt VI og politi, toll, judisiell eller annen kompetent myndighet i medlemsstatene som er autorisert etter nasjonal rett til å behandle personopplysninger innenfor rammebeslutningens anvendelsesområde. Av nr. 2 følger det at personer som jobber for kompetent myndighet skal være bundet av de personvernregler som gjelder for den relevante kompetente myndighet. Dette gjelder ikke bare ansatte, men også personer som tar oppdrag eller utfører tjenester for vedkommende myndighet.

Artikkel 22 gir anvisning på detaljerte bestemmelser om informasjonssikkerhet, herunder at medlemslandene treffer egnede tekniske og organisatoriske tiltak for å sikre uautorisert tilgang til og bruk av lagrede opplysninger, samt at det senere kan kontrolleres hvem som fikk tilgang og hvilke opplysninger som ble endret eller formidlet.

Artikkel 25 pålegger medlemslandene å sikre at uavhengige tilsynsorganer fører tilsyn med behandlingen av personopplysninger, og i nr. 2 gis det en opplisting av hvilke beføyninger tilsyns­myndigheten skal ha. Videre fremgår det av nr. 3 at enhver person (den registrerte) skal kunne anmode tilsynsmyndigheten om kontroll av om behandlingen av opplysninger om vedkommende er rettmessig.

Artikkel 27 er en evalueringsklausul. Medlemsstatene skal senest 3 år etter gjennomføringen av rettsakten informere Kommisjonen om hvilke tiltak som er satt i verk for å sikre at informasjonsutvekslingen er i overensstemmelse med rammebeslutningen. Hvis evalueringen viser at rammebeslutningens anvendelsesområde bør utvides for å beskytte den registrerte og fremme det rettslige og politimessige samarbeidet, har Kommisjonen mulighet til å fremme forslag om dette.

Artikkel 29 pålegger medlemsstatene å treffe de nødvendige tiltak for at bestemmelsene i rammebeslutningen gjennomføres innen 27. november 2010, og at medlemslandene tilsender Rådets generalsekretariat og Kommisjonen sitt nasjonale regelverk der bestemmelsene i rammebeslutningen er gjennomført.

4. Gjennomføring av ramme­beslutningen i norsk rett
Etter gjeldende rett har politiets og påtalemyn­dighetens behandling av personopplysninger, herunder i registre, grunnlag i flere forskjellige lover, forskrifter og andre bestemmelser. Strafferegistreringsloven er den alminnelige loven for politiets og påtalemyndighetens registre, og hjemmelsgrunnlag for en rekke politiregistre. Strafferegistreringsloven er en fullmaktslov, og forskriftene er sentrale og omfattende. I tillegg finnes det bestemmelser i politiloven, politiinstruksen, straffeprosessloven, påtaleinstruksen og spesiallovgivningen.

Personopplysningsloven kommer i utgangspunktet til anvendelse på all elektronisk behandling av personopplysninger, jf. lovens § 3 første ledd bokstav a. Det følger likevel av § 5 at bestemmelsene viker for spesialbestemmelser i annen lovgivning. Det antas at personopplysningsloven kommer til anvendelse hvor strafferegistreringsloven ikke gir særskilte regler. Personopplysningsloven gjelder likevel ikke for saker som behandles eller avgjøres i medhold av straffeprosessloven, jf. personopplysningsforskriften § 1-3 første ledd.

28. august 2000 ble det nedsatt et utvalg av Justisdepartementet for å gjennomgå strafferegistreringsloven og utarbeide forslag til ny lov om politiregistre. Politiregisterutvalget avla sin utredning 28. august 2003, jf. NOU 2003: 21 Kriminalitetsbekjempelse og personvern. Lovforslaget regulerer politiets, herunder Politiets sikkerhetstjenestes og påtalemyndighetens, behandling av opplysninger.

Da Kommisjonen fremla forslaget til rammebeslutningen, valgte Justisdepartementet å stille arbeidet med proposisjonen til ny politiregisterlov i bero i påvente av vedtakelsen av rammebeslutningen. Begrunnelsen for dette var ønsket om å gjennomføre bestemmelsene i rammebeslutningen i den nye loven. Justisdepartementet fremmer Ot.prp. nr. 108 (2008-2009) Om lov om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven), der forholdet til rammebeslutningen, sammen med de øvrige nasjonale og internasjonale rammer for lovforslaget, er omtalt. De bestemmelsene som omhandler mer detaljerte regler om utveksling av personopplysninger vil bli gitt i forskrifts form.

5. Administrative og økonomiske konsekvenser
De fleste av politiets datasystemer tilfredsstiller ikke de tekniske kravene som følger av ramme­beslutningen, og må derfor erstattes med nye systemer. Som eksempel kan nevnes artikkel 5 om sletting (som forutsetter automatisert søk etter opplysninger som skal slettes), artikkel 10 om registrering og dokumentasjon (som forutsetter at man til enhver tid har oversikt over hvilke opplysninger som har blitt utlevert og til hvem) og ikke minst artikkel 22 om informasjonssikkerhet (som forutsetter en rekke kontrollfunksjoner).

Både gjennomføringen av rammebeslutningen og iverksetting av den nye straffeloven medfører at de fleste av politiets systemer må tilpasses eller erstattes. Kostnadene for å erstatte det nasjonale straffe- og politiopplysningsregisteret (SSP) og STRASAK er anslått til 130 mill. kroner.

I tillegg til dette kommer kostnadene for tilpasning eller erstatning av de øvrige systemene som følge av gjennomføringen av rammebeslutningen, herunder kriminaletterretningsregistrene. Disse kostnadene er beregnet til om lag 115 mill. kroner over tre år, fordelt med 23 mill. kroner i 2010, 58 mill. kroner i 2011 og 34 mill. kroner i 2012. De totale kostnadene for gjennomføringen av rammebeslutningen beløper seg således til om lag 245 mill. kroner.

6. Konklusjon og tilrådning
Schengen-avtalen forutsetter at partene anvender samme regelverk. Det forutsetter at Norge godtar og innarbeider i nasjonal rett innholdet i EUs vedtak som er en videreutvikling av Schengen-regelverket. Norge bør fortsatt være en fullverdig partner i dette samarbeidet og basere samarbeidet med de øvrige Schengen-land på felles regler om personvern, som også er et viktig område for norske myndigheter.

Justisdepartementet tilrår godtakelse av rammebeslutning 2008/977/JIS om personvern i forbindelse med politi- og strafferettslig samarbeid. Utenriksdepartementet slutter seg til dette.