Fremsat den 29. marts 2017 af justitsministeren (Søren Pape Poulsen)

Forslag

til

Lov om ændring af lov om politiets virksomhed og toldloven (Politiets anvendelse af databaserede analyseredskaber og adgang til oplysninger om flypassagerer)

§ 1

I lov om politiets virksomhed, jf. lovbekendtgørelse nr. 956 af 20. august 2015, som ændret ved lov nr. 1722 af 27. december 2016, foretages følgende ændring:

1. Efter § 2 indsættes i kapitel 2:

»§ 2 a. Politiet foretager tværgående informationsanalyser på grundlag af de oplysninger, politiet behandler, når det er nødvendigt af hensyn til udførelsen af politiets opgaver, jf. § 2.

Stk. 2. Politiet kan indsamle og behandle oplysninger fra offentligt tilgængelige kilder, når det er nødvendigt af hensyn til udførelsen af politiets opgaver, jf. § 2.

Stk. 3. Justitsministeren fastsætter nærmere regler for politiets behandling af oplysninger, herunder den, der finder sted i medfør af stk. 1 og stk. 2. Justitsministeren fastsætter herunder regler om, til hvilke formål oplysninger kan behandles, og hvornår sletning af oplysninger skal finde sted, samt om de tekniske og organisatoriske foranstaltninger, der skal iagttages ved behandlingen.«

§ 2

I toldloven, jf. lovbekendtgørelse nr. 1223 af 20. september 2016, som ændret ved § 2 i lov nr. 1881 af 29. december 2015, foretages følgende ændring:

1. I § 17 indsættes som stk. 7 og 8:

»Stk. 7. Virksomheder, der driver trafik med luftfartøjer, har endvidere pligt til at give oplysninger om passagerer og besætning på luftfartøjer, som virksomhederne er i besiddelse af, til told- og skatteforvaltningen til brug for politiets opgaver i medfør af udlændingelovens § 38.

Stk. 8. Skatteministeren fastsætter efter forhandling med justitsministeren nærmere regler om oplysningsforpligtelsen efter stk. 7, herunder hvordan oplysningerne stilles til rådighed for told- og skatteforvaltningen, og med hvilke intervaller oplysningerne skal meddeles. Der kan endvidere fastsættes regler om told- og skatteforvaltningens behandling af de oplysninger, der modtages.«

§ 3

Justitsministeren fastsætter tidspunktet for lovens ikrafttræden. Ministeren kan herunder fastsætte, at forskellige dele af loven træder i kraft på forskellige tidspunkter.

§ 4

Loven gælder ikke for Færøerne og Grønland, men lovens § 1 kan ved kongelig anordning helt eller delvist sættes i kraft for Færøerne og Grønland med de ændringer, som de færøske og grønlandske forhold tilsiger.

Bemærkninger til lovforslaget

1. Indledning

1.1. Det fremgår af anbefalingerne i evalueringsrapporten om terrorhændelserne i København i februar 2015 og den daværende regerings udspil "Et stærkt værn mod terror", at der skal etableres et koordineret og intensivt samarbejde på tværs af politiet og PET, bl.a. gennem en øget it- og analysekapacitet og tilvejebringelsen af en fælles analyseplatform.

Initiativerne fra "Et stærkt værn mod terror" er videreført ved den politiske flerårsaftale mellem Venstre, Liberal Alliance, Det Konservative Folkeparti, Dansk Folkeparti og Socialdemokratiet om politiets og anklagemyndighedens økonomi i perioden 2016-2019 ("Et styrket politi. Et tryggere Danmark"), der samtidig understreger behovet for en fortsat modernisering og effektivisering af dansk politi, herunder gennem implementering af en analysebaseret politiindsats (såkaldt "intelligence-led policing") på nye områder, f.eks. i form af analysebaseret patruljering.

Det er centralt for regeringen, at politiet som led i opgavevaretagelsen har adgang til at anvende moderne og tidssvarende redskaber, og at politiets anvendelse af sådanne redskaber er reguleret af en betryggende retlig ramme. Derved sikres det, at politiets opgaveløsning finder sted på betryggende vis, samtidig med at politiet har mulighed for effektivt at imødegå et stadigt mere komplekst kriminalitetsbillede og understøtte en god og effektiv løsning af politiets opgaver både inden for og uden for strafferetsplejen.

1.2. Lovforslaget har på denne baggrund til formål at tilvejebringe de retlige rammer for den fortsatte implementering af "intelligence-led policing" i dansk politi og for politiets ibrugtagning af en platform til tværgående analyser.

I lovforslaget foreslås det for det første, at der indføres en ny bestemmelse i politiloven, der giver et klart retligt grundlag for politiets anvendelse af databaserede analyseredskaber på tværs af politiets virksomhed.

For det andet foreslås det, at politiet skal have et klart retligt grundlag for indsamlingen og behandlingen af offentligt tilgængelige oplysninger ligeledes til brug for løsningen af politiets opgaver.

For det tredje foreslås det, at justitsministeren bemyndiges til at fastsætte nærmere regler om politiets behandling af oplysninger, herunder regler om sletning af oplysninger. Derved sikres det, at der dels kan tilvejebringes en tilstrækkelig præcis og konkret retlig ramme for politiets databehandling, dels at den retlige ramme kan tilpasses politiets behov, den teknologiske udvikling og de risici, behandling af større mængder af oplysninger kan indebære.

1.3. Formålet med lovforslaget er endvidere at forenkle politiets adgang til at modtage oplysninger om flypassagerer og besætningsmedlemmer (API-oplysninger) og samtidig sikre, at luftfartsselskaberne alene skal videregive oplysninger til ét sted (SKAT). Der foreslås således en ændring af toldloven med henblik på at sikre hjemmel til, at politiet til brug for politiets ind- og udrejsekontrol og målrettede udlændingekontrol kan indhente disse oplysninger via den elektroniske løsning, som SKAT siden den 1. januar 2017 har etableret til håndtering af sådanne oplysninger, og som forventes at være helt på plads i juli 2017, når den etablerede overgangsordning for luftfartsselskaberne er ophørt. Politiet har allerede i dag efter udlændingeloven hjemmel til fra luftfartsselskaberne at indhente API-oplysninger til brug for politiets ind- og udrejsekontrol og målrettede udlændingekontrol.

Der henvises til lovforslagets § 2 med tilhørende bemærkninger, samt pkt. 4 i lovforslagets almindelige bemærkninger.

2. Baggrund

2.1. Udviklingen i kriminalitetsbilledet mv.

Dansk politi konfronteres i disse år - i lighed med flere andre vestlige politistyrker - med en stadig mere kompliceret opgaveprofil. De senere års nedgang i den samlede kriminalitet falder således sammen med en mærkbar stigning i den mere avancerede og i vidt omfang teknologiunderstøttede kriminalitet, f.eks. hackerangreb, identitetstyveri, omrejsende kriminelle, organiseret berigelseskriminalitet og seksuelle krænkelser begået via internettet, samt organiseret og grænseoverskridende kriminalitet, herunder rocker- og bandekriminalitet.

Politiet møder eksempelvis i stigende grad efterforskningsmæssige udfordringer på tværs af en række kriminalitetsformer inden for it-understøttet kriminalitet. Det gælder bl.a. seksuelle overgreb mod børn, narkotikakriminalitet, radikalisering og økonomisk kriminalitet, idet gerningspersonerne til denne type kriminalitet kan udnytte teknologi til at have mange forskellige digitale identiteter og til at kommunikere via krypterede og anonymiserede netværk. Gerningspersoner og grupperinger kan samtidig sprede deres kommunikation over flere netværk og enheder, hvilket frembyder en betydelig udfordring for politiet i forhold til indsamling og sammenstilling af informationer.

Parallelt hermed er politiets efterforskning i en lang række sager i stigende grad afhængig af, at politiet bl.a. kan analysere stadig større datamængder, genkende og forudse kriminalitetsmønstre og afvigelser fra normalbilledet mv. samt disponere efterforskningsressourcer og indsatser på baggrund af kvalificeret viden og efterretninger.

Også uden for det strafferetlige område har politiet et stigende behov for gennem en analyse- og videnbaseret tilgang til opgavevaretagelsen f.eks. at kunne imødegå uvarslede hændelser, udføre målrettet udlændingekontrol og sikre den offentlige orden. Ligeledes vil politiets kriminalpræventive arbejde kunne udvikles og forbedres ved anvendelse af bedre analysemuligheder.

2.2. Politiets analyse- og videnbaserede arbejde

2.2.1. Dansk politi er navnlig i medfør af lov om politiets virksomhed (politiloven) pålagt en række opgaver, jf. pkt. 3.1.2 nedenfor om gældende ret. Disse omfatter bl.a. at forebygge strafbare forhold, at forebygge og afværge forstyrrelse af den offentlige fred og orden samt fare for enkeltpersoners og den offentlige sikkerhed, at bringe strafbar virksomhed til ophør, at efterforske og forfølge strafbare forhold samt at yde borgerne bistand i andre faresituationer.

Varetagelsen af disse opgaver forudsætter, at politiet indsamler, videregiver, anvender, analyserer mv. oplysninger - herunder i vidt omfang personoplysninger - om bl.a. mistænkte, ofre, vidner, pårørende og virksomheder. Dette er navnlig tilfældet inden for strafferetsplejen, hvor der systematisk indsamles og behandles store mængder af bl.a. følsomme oplysninger om de berørte personer og virksomheder i forbindelse med den strafferetlige efterforskning og eventuelle efterfølgende strafforfølgning ved domstolene.

Varetagelsen af politiets lovbestemte opgave med at bringe strafbar virksomhed til ophør samt efterforske og forfølge strafbare forhold er bl.a. på denne baggrund genstand for udførlig regulering i retsplejeloven, jf. pkt. 3.1.3 nedenfor om gældende ret. Retsplejeloven fastsætter bl.a. rammerne for, hvordan og under hvilke omstændigheder politiet må foretage konkrete indgreb over for borgerne, virksomheder mv. Netop i lyset af den særligt bebyrdende karakter af de indgreb, som politiet har adgang til at foretage, har, er gennemførelsen heraf i en række tilfælde underlagt et krav om forudgående domstolskontrol.

Politiets virksomhed inden for strafferetsplejen er således i ganske særlig grad - sammenholdt med offentlige myndigheders virksomhed generelt - underlagt en konkret og tilpasset lovgivning og legalitetskontrol, herunder af under hvilke omstændigheder politiet har adgang til at indsamle oplysninger om fysiske personer gennem foretagelsen af indgreb.

Uden for strafferetsplejen er politiet - på samme måde som øvrige offentlige myndigheder - underlagt de almindelige offentligretlige principper om lovmæssig forvaltning, god forvaltningsskik, proportionalitet mv. Politiets afgørelsesvirksomhed og bistand til andre myndigheder efter gældende ret er således også underlagt en række retlige normer og specifikke lovkrav, der begrænser politiets adgang til at indsamle oplysninger, herunder personoplysninger.

2.2.2. Politiets adgang til at indsamle og behandle bl.a. personoplysninger er nødvendig som led i politiets varetagelse af de centrale samfundsunderstøttende funktioner og opgaver, som politiet er pålagt. Det har således altid været en afgørende forudsætning for politiets opgavevaretagelse, at politiet kunne tilgå oplysninger om, hvad der sker i samfundet. Tidligere blev denne funktion i vidt omfang varetaget gennem den enkelte politimands kendskab til lokalmiljøet, brugen af meddelere mv., men i takt med udviklingen i kriminalitetsbilledet og særligt udbredelsen af moderne teknologi har politiet løbende måtte tilpasse de metoder, hvorved politiet indsamler og behandler oplysninger. Den stærkt øgede digitalisering har samtidig medført en markant vækst i forekomsten af data, populært ofte benævnt "Big Data". Samlet set indebærer den mængde af data og det kriminalitetsbillede, som politiet i dag skal forholde sig til i deres arbejde, således udfordringer af en karakter, som vanskeligt vil kunne løses uden brug af moderne tværgående analyseværktøjer.

2.2.3. I dag understøtter politiet navnlig sin opgavevaretagelse ved brug af de redskaber, der i medfør af lovgivningen særligt står til rådighed for politiet, jf. det ovenfor anførte, samt ved brug af de informationskilder, registre mv., som politiet har ansvaret for at opbygge og vedligeholde, f.eks. Det Centrale Kriminalregister (Kriminalregisteret).

Imidlertid behandles de oplysninger, som politiet råder over, i isolerede systemer, hvilket vanskeliggør en effektiv og moderne varetagelse af politiets opgaver. Muligheden for effektivt at udnytte tilgængelige data er navnlig begrænset som følge af, at politiets nuværende it-systemer til monitering og analyse fungerer i en silostruktur, der gør krydstjek af selv små datamængder til en tung - og typisk manuel - proces, hvor sammenhænge og vigtige informationer let kan overses, idet opslag og søgninger i dag alene kan foretages separat i de enkelte systemer. Dette indebærer - i kombination med den kraftigt stigende mængde af data, der genereres på tværs af politiets virksomhed og i samfundet - at politiets eksisterende analysetilgange og analyseværktøjer i stigende grad ikke kan understøtte politiets behov, idet det med de nuværende analyseværktøjer ikke er muligt at foretage tværgående søgninger og analyser på tværs af de enkelte it-systemer.

Reguleringen af politiets registre og databehandlinger afspejler samtidig i vidt omfang den systemmæssige opbygning af politiets it-systemer. Politiets effektive brug af data er således i vidt omfang reguleret på systemniveau uden et klart retligt grundlag for tværgående søgninger og analyser, og den retlige regulering er således ikke fuldt ud i overensstemmelse med de behov, som et moderne politi har for målrettet og effektivt at kunne bringe relevante oplysninger i anvendelse som led i løsningen af politiets opgaver.

For at imødegå disse udfordringer har dansk politi iværksat en række tiltag, der generelt skal sikre en modernisering af politiets opgaveløsning gennem en markant styrkelse af politiets analytiske kapacitet, bl.a. gennem rekruttering af analytikere, både i de enkelte politikredse og hos Rigspolitiet. Desuden er samarbejdet mellem de lokale analytikere i politikredsene og Rigspolitiets analytikere intensiveret med henblik på koordination og videndeling, og der arbejdes med yderligere kompetenceløft gennem efteruddannelse med fokus på analyse.

2.2.4. Politiet har endvidere igennem en årrække haft en ambition om i videst muligt omfang at arbejde analyse- og videnbaseret (såkaldt "intelligence-led policing") for at imødegå de ovennævnte udfordringer, hvilket er blevet forstærket af den interne "Politianalyse vedrørende monitering og analyse", der blev afsluttet i 2013. Det bemærkes i den forbindelse, at erfaringen med implementering af "intelligence-led policing" i andre landes politistyrker, bl.a. Nederlandene, samt i Europol har vist, at denne tilgang til opgaveløsningen kan skabe stor værdi og mærkbare effekter. Erfaringerne herfra viser imidlertid også, at det er af afgørende betydning for realiseringen af det fulde potentiale af denne tilgang, at politiet har mulighed for at bruge så mange af de oplysninger, som politiet behandler, som muligt på tværs af opgavevaretagelsen.

Som et af de seneste tiltag i dansk politis udvikling mod at implementere "intelligence-led policing" er der igangsat et projekt til anskaffelse og implementering af en analyseplatform (POL-INTEL), der skal give politiet et sammenhængende it-system til bearbejdning og analyse af de store datamængder, der genereres både internt i politiet og som er tilgængelige fra eksterne datakilder.

2.3. Merværdien af "intelligence-led policing"

2.3.1. En forbedret dataanvendelse hos politiet og en styrkelse af den analyse- og videnbaserede tilgang til politiarbejdet vurderes at ville få væsentlig betydning for alle dele af politiets arbejde - fra den alvorligste organiserede grænseoverskridende kriminalitet til den mere borgernære kriminalitet og både i forhold til efterforskning og forebyggelse.

I forhold til bekæmpelsen af den alvorligste organiserede kriminalitet, som navnlig omfatter bande- og netværkskriminalitet, der er kendetegnet ved sin internationale, gr?æ?n??s??eo?v?e?r?skridende og professionelle karakter, og som begås under anvendelse af vold, trusler og våben i svært tilgængelige miljøer, hvor sikkerhedsniveauet er højt, forventes en mere moderne, systemunderstøttet og tværgående adgang til at gennemføre informationsanalyser at gøre politiet i stand til bedre at kunne identificere og vurdere sammenhænge og relationer på tværs af sager. I forbindelse med konkrete efterforskninger, moniteringsopgaver mv. vil de relevante medarbejdere således hurtigt og effektivt kunne samle oplysninger fra samtlige relevante datakilder, som politiet har adgang til. Politiet vil dermed langt hurtigere end i dag kunne konstatere relevante sammenhænge og mønstre og således målrette efterforskningen og mere effektivt søge at afværge yderligere konfrontationer og angreb.

En forbedret dataanvendelse vurderes også at ville få væsentlig betydning for politiets indsats over for bl.a. økonomisk it-kriminalitet. Denne kriminalitetsform er særligt kendetegnet ved, at gerningstidspunkt og -sted ofte er løsrevet fra selve den kriminelle handling. Eksempelvis kan en gerningsmand befinde sig i udlandet og via internettet sætte en række forhold i gang, som f.eks. forløber over flere dage og på tværs af flere gerningssteder og lande. Gerningspersonen har således ikke på samme måde som ved mere traditionelle kriminalitetsformer kontakt med gerningssted og offer, hvilket kan gøre gerningspersonen svær at identificere. It-understøttet kriminalitet kan også begås "by proxy", hvor gerningspersonen skærmer sig ved brug af teknologi, hvilket skaber en yderligere udfordring for politiet. Digitale spor og kriminalitet via digitale enheder skaber på samme tid udfordringer og muligheder for politiet, som det kræver særlige kompetencer og værktøjer at håndtere.

En væsentlig forudsætning for bekæmpelsen af denne kriminalitetsform er politiets mulighed for at organisere efterforskningen således, at sammenhænge mellem anmeldelser både inden for den enkelte politikreds og på tværs af politikredse hurtigt og i videst muligt omfang identificeres. Bl.a. som følge af den informationsmængde, som disse sager ofte indeholder, er det imidlertid ofte vanskeligt og ressourcekrævende for politikredsene med de eksisterende værktøjer at identificere relevante sammenhænge på tværs af sager.

Til illustration heraf kan nævnes "phishing" angreb (fremsendelse af e-mails, der lokker modtageren til at afsløre personlige oplysninger, adgangskoder mv.), som oftest er iværksat fra udlandet. I forbindelse med disse angreb vil der typisk være en lang række personer spredt over flere politikredse, som vil blive ramt. Den enkelte politikreds vil i disse situationer stå med en række anmeldelser fra personer, som har mistet penge, hvor politikredsen ikke kan se, at sagen er en del af et større landsdækkende og muligt internationalt angreb. En adgang til effektivt at foretage en søgning på tværs af sager og politikredse og foretage sammenstilling med andre datakilder vil gøre det muligt hurtigt og effektivt at danne sig et overblik over omfanget af sådanne "phishing"-angreb, således at disse kan efterforskes samlet.

Når det gælder færdselsområdet, er det operative færdselsarbejde forankret i analyse og evidens. Det betyder bl.a., at færdselskontroller foregår på de steder og tidspunkter, hvor effekten forventes at være størst. For at kunne målrette kontrollerne kan en større viden om, hvor og hvornår en bestemt type færdselslovsovertrædelser må forventes at forekomme, være nyttig f.eks. i forhold til gengangere på spirituskørselsområdet og af trafikanter, som har gentagne hastighedsforseelser bag sig. For at opnå denne viden vil det være nødvendigt at samkøre politiets registre over sigtede gerningspersoner med oplysninger fra andre registre, f.eks. Danmarks Statistik. Det bemærkes i denne forbindelse, at denne form for analysebaseret patruljering og kontrol ikke indebærer, at enkeltpersoner gøres til genstand for målrettede tiltag eller overvågning fra politiets side.

2.3.2. I forhold til politiets kriminalitetsforebyggende arbejde vil en bredere og mere effektiv adgang til at udnytte data kunne have betydning i forhold til bl.a. at identificere unge tilhørende den såkaldte "hårde kerne" af meget alvorligt kriminelle unge for derigennem så tidligt som muligt at kunne sætte ind med relevante forebyggende indsatser og tiltag. Endvidere vil forbedrede analysemuligheder kunne bruges som afsæt til at udvikle og afprøve nye forebyggende indsatser.

I tilfælde, hvor Danmark rammes af uvarslede hændelser, er det af afgørende betydning for både den beredskabsmæssige og den efterforskningsmæssige indsats, at der hurtigt kan opstilles et samlet situationsbillede baseret på viden fra tværgående kilder. Et sådan samlet fælles situationsbillede fra alle relevante dele af politiet vil dels styrke den enkelte politikreds, dels styrke samarbejdet mellem de relevante politikredse og Rigspolitiet og dermed styrke den samlede beredskabsmæssige og efterforskningsmæssige indsats.

En bredere og mere effektiv adgang til at udnytte og analysere data er endvidere af stor betydning for det politimæssige beredskab i forhold til at kunne opfange nye tendenser og modus af betydning for politiets beredskabsmæssige indsats og disponering f.eks. i forhold til bilbrande, stenkast fra broer mv.

2.4. Politiets brug af offentligt tilgængelige kilder

2.4.1. I takt med den teknologiske udvikling er det gennem de seneste ca. 20 år blevet stadig mere udbredt, at såvel offentlige myndigheder, herunder politiet, private virksomheder og enkeltpersoner tilgår og benytter offentligt tilgængelige oplysninger som en integreret del af deres opgaveløsning. Offentligt tilgængelige kilder kan i denne forbindelse være internettet, som i dag udgør en væsentlig - og i mange sammenhænge den primære - informationskilde på tværs af samfundet, herunder sociale medier, men også nyhedsmedier, TV- og radioudsendelser, offentlige rapporter og øvrige kilder, der kan tilgås i det offentlige rum. De indsamlede oplysninger kan omfatte enhver type oplysning, herunder personoplysninger, men også i vidt omfang oplysninger uden tilknytning til fysiske personer.

Politiets anvendelse af offentligt tilgængelige kilder betegnes i praksis "open source". Den mere kvalificerede og målrettede anvendelse af "open source" betegnes ofte som "open source intelligence". Gennem søgning, systematisering og analyse af informationer fra offentligt tilgængelige kilder kan politiet således understøtte og supplere igangværende efterforskninger med nye oplysninger samt til dels validere oplysninger indsamlet gennem traditionelle efterforskningsmetoder. Uden for strafferetsplejen kan brugen af "open source"-kilder bl.a. blive inddraget ved eftersøgningen af savnede personer og ved forberedelsen og afviklingen af større offentlige begivenheder som koncerter, fodboldkampe og festivaler.

2.4.2. Politiet forventer i de kommende år i stigende grad at gøre brug af "open source"-kilder og "open source intelligence", såvel i politikredsene som i Rigspolitiet. Denne udvikling aktualiserer nogle grundlæggende overvejelser om det overordnede retlige grundlag for politiets indsamling af oplysninger fra offentligt tilgængelige kilder, herunder navnlig i hvilket omfang en sådan anvendelse forudsætter en mere udtrykkelig hjemmel for politiets brug af offentlige kilder, end den, der følger af gældende ret. Som nærmere beskrevet nedenfor under pkt. 3.2.2.1 er det Justitsministeriets vurdering, at der - i lyset af den forventede udvikling i politiets brug af "open source"-kilder - bør fastsættes en udtrykkelig hjemmel i politiloven til at indsamle og behandle oplysninger fra offentligt tilgængelige kilder.

3. Ændring af politiloven med henblik på at understøtte politiets analyse- og videnbaserede opgavevaretagelse

3.1. Gældende ret

3.1.1. Generelt om den retlige ramme for politiets behandling af oplysninger

Som beskrevet ovenfor under pkt. 2.2 behandler politiet oplysninger, herunder personoplysninger, i det omfang det er nødvendigt for politiets opgavevaretagelse, jf. politilovens § 2. Denne behandling sker på linje med andre offentlige myndigheder i et generelt elektronisk sagshåndteringssystem (POLSAS), samt i en række elektroniske databaser og registre, som politiet er ansvarlig for at drive og vedligeholde.

Ud over at behandle oplysninger til brug for politiets egen opgavevaretagelse behandler og videregiver politiet i vidt omfang oplysninger til andre myndigheder til brug for understøttelsen af disses opgavevaretagelse, f.eks. i forbindelse med kommunernes udstedelse af pas og kørekort, ligesom politiet udsteder straffeattester til brug for ansættelse i både det offentlige og private virksomheder.

Politiets behandling af oplysninger er - ligesom politiets virksomhed i øvrigt - nærmere reguleret i en række sammenhænge, herunder navnlig i politiloven, retsplejeloven, persondataloven og i administrative forskrifter, herunder i en række bekendtgørelser og i kundgørelser udstedt af rigspolitichefen.

3.1.2. Politiloven

Lov om politiets virksomhed, jf. lovbekendtgørelse nr. 956 af 20. august 2015 (politiloven), er lovgrundlaget for politiets virksomhed. Loven indeholder bestemmelser om politiets formål og virke, politiets opgaver, politiets foretagelse af indgreb, politiets anvendelse af magt over for borgerne mv.

Politiloven suppleres af regler i den øvrige lovgivning, herunder navnlig retsplejeloven.

3.1.3. Retsplejeloven

Retsplejeloven, jf. lovbekendtgørelse 1257 af 13. oktober 2016 med senere ændringer, regulerer en række spørgsmål knyttet til politiets virksomhed inden for strafferetsplejen. Loven indeholder således bl.a. bestemmelser om politiets efterforskning, foretagelse af afhøringer og særlige efterforskningsskridt og tvangsindgreb - herunder indgreb i meddelelseshemmeligheden, observation, dataaflæsning mv. Disse efterforskningsmidler medfører i vidt omfang indsamling af oplysninger om fysiske personer, herunder mistænkte, ofre og vidner. En række af de efterforskningsskridt, der er reguleret i retsplejeloven, bl.a. indgreb i meddelelseshemmeligheden, forudsætter retskendelse.

3.1.4. Offentlighedsloven

Spørgsmålet om aktindsigt i politiets sagsmateriale (hvad enten sagsmaterialet relaterer sig til en sag inden eller uden for strafferetsplejen) reguleres af bl.a. reglerne i offentlighedsloven, jf. lov nr. 606 af 12. juni 2013.

Det følger af offentlighedslovens § 7, stk. 1, at retten til aktindsigt omfatter dokumenter, der er indgået til eller oprettet af en myndighed mv. som led i administrativ sagsbehandling i forbindelse med dens virksomhed. Retten til aktindsigt gælder således kun i forhold til allerede eksisterende dokumenter.

Derudover fastsætter offentlighedslovens § 11 en ret for offentligheden til at forlange, at en myndighed foretager og udleverer en sammenstilling af foreliggende oplysninger i myndighedens databaser (dataudtræk), hvis sammenstillingen kan foretages ved få og enkle kommandoer.

Såfremt oplysningerne er omfattet af offentlighedslovens §§ 19-35, gælder sammenstillingsretten kun, hvis de hensyn, der er nævnt i disse bestemmelser, kan tilgodeses gennem anonymisering eller lignende, der kan foretages ved få og enkle kommandoer.

Efter offentlighedslovens § 33, nr. 1, kan retten til aktindsigt begrænses, i det omfang det er nødvendigt til beskyttelse af væsentlige hensyn til forebyggelse, efterforskning og forfølgning af lovovertrædelser, straffuldbyrdelse og lignende og beskyttelse af sigtede, vidner eller andre i sager om bl.a. strafferetlig forfølgning. Det må antages, at denne bestemmelse ofte vil finde anvendelse, når der anmodes om dataudtræk i oplysninger, der relaterer sig til sager inden for strafferetsplejen.

3.1.5. Persondataloven

Politiets behandling af personoplysninger er generelt reguleret i persondataloven.

3.1.5.1. Persondatalovens anvendelsesområde

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (persondataloven) regulerer behandling af personoplysninger, som foretages af offentlige myndigheder og private, når behandlingen helt eller delvist foretages ved hjælp af elektronisk databehandling. Den omfatter ligeledes ikke-elektronisk behandling af pers?o?no?p?l?ysninger, der er eller vil blive indeholdt i et register, jf. persondatalovens § 1, stk. 1.

Ved behandling af oplysninger forstås ifølge lovens § 3, nr. 2, enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for. Samkøring er en særlig form for behandling, som personoplysninger kan gøres til genstand for. Samkøring er en fælles betegnelse for forskellige tekniske løsninger, som vedrører sammenkobling af oplysninger, der kommer fra forskellige registre. Under samkøring hører maskinelle overførsler, hvorved et register tilføres oplysninger fra et andet register, således at det modtagende register udvides med disse oplysninger. Til begrebet samkøring henregnes endvidere maskinelle sammenstillinger af oplysninger fra forskellige registre, hvorved der dannes et nyt "uddata-produkt", f.eks. et nyt register.

Det følger af persondatalovens § 2, stk. 4, 2. pkt., at bestemmelserne i lovens kapitel 8 og §§ 35-37 og § 39 om oplysningspligt over den registrerede og den registreredes indsigelsesret ikke finder anvendelse på behandlinger, der foretages for politi og anklagemyndighed inden for det strafferetlige område. Der er således ikke pligt for politi og anklagemyndighed til at underrette registrerede personer, når oplysninger om dem gøres til genstand for behandling i forbindelse med behandlingen af en straffesag. Bestemmelserne om den registreredes ret til at gøre indsigelse mod, at oplysninger behandles, og retten til at anmode om at urigtige oplysninger mv. skal berigtiges, slettes eller blokeres, finder således heller ikke anvendelse i forhold til behandlinger, der foretages for politi og anklagemyndighed inden for det strafferetlige område. Med udtrykket anklagemyndighed sigtes til politidirektørerne, statsadvokaterne, Rigsadvokaten og Justitsministeriet, jf. retsplejelovens kapitel 10.

3.1.5.2. Persondatalovens behandlingsregler

3.1.5.2.1. Persondatalovens afsnit II (§§ 5-27) indeholder de såkaldte behandlingsregler. I lovens § 5 er der fastsat en række grundlæggende principper, der gælder for alle behandlinger af personoplysninger. Bestemmelsen fastsætter således bl.a., at behandling af personoplysninger skal ske i overensstemmelse med god databehandlingsskik, at indsamling af personoplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål, at oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles, at oplysninger skal ajourføres, og at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Det understreges i bemærkningerne til persondatalovens § 5, stk. 2, at der gennem lovgivningen kan ske en nærmere specificering af, til hvilke formål behandling af oplysninger kan ske. For nogle behandlinger er der i lovgivningen således formuleret et bredt formål, nemlig at stille oplysninger til rådighed for mange forskellige myndigheder og/eller private. Det gælder f.eks. for Det Centrale Erhvervsregister.

Reglerne i § 5 giver ikke et selvstændigt retligt grundlag for at foretage en bestemt behandling af personoplysninger. Hjemmelsgrundlaget herfor skal findes i de øvrige behandlingsregler i navnlig persondatalovens §§ 6-8.

3.1.5.2.2. I persondatalovens § 6, stk. 1, fastsættes de generelle betingelser for, hvornår behandling af oplysninger må finde sted. Af bestemmelsen følger, at behandling af oplysninger kun må finde sted, hvis en af de i nr. 1-7 angivne betingelser er opfyldt.

Videregivelse og behandling af oplysninger om enkeltpersoners rent private forhold er i øvrigt reguleret i persondatalovens §§ 7 og 8. De oplysninger, der omfattes af bestemmelsen i § 7, er oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold samt helbredsmæssige og seksuelle forhold. Lovens § 8 omfatter oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end dem, der er nævnt i § 7.

3.1.5.2.3. Særligt for så vidt angår politiets behandling af personoplysninger bemærkes det, at politiets virksomhed - som også beskrevet under pkt. 2.2 - generelt er reguleret af en række love og administrative forskrifter samt grundlæggende retsprincipper. I det omfang denne særlovgivning mv. forudsætter, at politiet behandler personoplysninger, vil det i persondatalovens forstand udgøre grundlaget for politiets behandling af personoplysninger til de pågældende formål. Det følger således af persondatalovens § 6, stk. 1, nr. 3, at en behandling af almindelige ikke-følsomme personoplysninger kan finde sted, når den er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige (politiet). Politiets behandling af ikke-følsomme personoplysninger vil navnlig også kunne finde sted i medfør af lovens § 6, stk. 1, nr. 6, i det omfang den er nødvendig for udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives til, har fået pålagt.

For så vidt angår politiets behandling af følsomme pers?o?no?p?l?ysninger i forbindelse med efterforskning, strafforfølgning mv. vil en sådan kunne finde sted i henhold til de lovregler mv., der regulerer politiets virksomhed på det strafferetlige område. Det følger således af persondatalovens § 7, stk. 6, jf. § 8, stk. 6, at behandling af følsomme personoplysninger kan ske, hvis behandlingen er nødvendig af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område.

Af særlig relevans for politiets interne behandling af oplysninger om strafbare forhold er persondatalovens § 8, stk. 1. Det følger af bestemmelsen, at der for den offentlige forvaltning ikke må behandles oplysninger om bl.a. strafbare forhold, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver, hvilket i sagens natur er tilfældet for politiets virksomhed, jf. herved også beskrivelsen af politiets opgaver i politiloven.

For så vidt angår videregivelse af oplysninger om strafbare forhold indeholder persondatalovens § 8, stk. 2, særlige videregivelsesregler vedrørende bl.a. oplysninger om strafbare forhold.

På grundlag af de nævnte regler i persondataloven kan politiet således bl.a. samkøre oplysninger, når det er nødvendigt af hensyn til efterforskning, strafforfølgning mv.

For så vidt angår politiets behandling af følsomme pe?r?so?no?p?l?y?sninger uden for det strafferetlige område, f.eks. som led i behandlingen af administrative sager, vil en sådan behandling navnlig kunne finde sted i det omfang betingelserne i lovens § 7, stk. 2, nr. 1-4, jf. § 8, stk. 6, er opfyldt. Dette vil f.eks. være tilfældet i det omfang, behandlingen af oplysninger er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, jf. § 7, stk. 2, nr. 4, hvilket bl.a. kan være tilfældet i forbindelse med en borgers ansøgning om at modtage en tilladelse i henhold til gældende ret. Bestemmelsen i § 7, stk. 2, nr. 4, antages ligeledes at kunne udgøre grundlaget for offentlige myndigheders behandling af følsomme oplysninger som led i myndighedsudøvelse.

Herudover indeholder persondataloven i § 27 særlige regler om overførsel af personoplysninger til tredjelande.

3.1.5.3. Særregulering af politiets datakilder

3.1.5.3.1. Persondatalovens § 72

Det følger af persondatalovens § 72, at vedkommende minister i særlige tilfælde kan fastsætte nærmere regler for behandling af personoplysninger, som udføres for den offentlige forvaltning.

På særlige områder, hvor politiet f.eks. behandler store mængder af oplysninger, eller hvor der er tale om behandling som indebærer en høj grad af registrering af oplysninger om særlige grupper af borgere, er der i medfør af denne bestemmelse fastsat nærmere detaljerede regler. Reglerne indebærer som følge af oplysningernes følsomme karakter en styrkelse af databeskyttelsen, f.eks. i form af begrænsning i adgang til oplysningerne, begrænsning af anvendelsen af oplysningerne, f.eks. i form af særlige kriminalitetskrav, og i form af differentierede opbevaringsperioder.

Som eksempler kan nævnes bekendtgørelsen om automatisk nummerpladegenkendelse (ANPG), som bl.a. fastsætter særlige kriminalitetskrav som betingelse for behandling af oplysninger om nummerplader, og bekendtgørelsen om behandling af personoplysninger i Politiets Efterforskningsstøtte Database (PED), som fastsætter særlige adgangskrav. Begge bekendtgørelser begrænser desuden adgangen til videregivelse af oplysninger i forhold til den adgang til videregivelse, som følger af persondataloven.

I medfør af bestemmelsen har Justitsministeriet udstedt følgende bekendtgørelser:

- Bekendtgørelse nr. 1776 af 16. december 2015 om politiets anvendelse af automatisk nummerpladegenkendelse

- Bekendtgørelse nr. 882 af 4. juli 2014 om behandling af personoplysninger, der leveres eller modtages i henhold til Prümafgørelsen om udveksling af oplysninger om dna-profiler, fingeraftryk og køretøjer m.v.

- Bekendtgørelse nr. 881 af 4. juli 2014 om behandling af personoplysninger i Det Centrale Kriminalregister (Kriminalregisteret)

- Bekendtgørelse nr. 921 af 2. juli 2010 om behandling af personoplysninger i Politiets Efterforskningsstøtte Database (PED)

3.1.5.3.2. Persondatalovens § 72 a

Efter persondatalovens § 72 a, kan justitsministeren fastsætte nærmere regler om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union mv. I medfør af bestemmelsen har Justitsministeriet udstedt bekendtgørelse nr. 1287 af 25. november 2010 om beskyttelse af pers?o?no?p?l?y?sninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union og Schengen-samarbejdet. Bekendtgørelsen fastsætter, at persondataloven med visse undtagelser og modifikationer finder anvendelse i forhold til personoplysninger, der udveksles eller stilles til rådighed mellem en dansk og en udenlandsk myndighed i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union og Schengen-samarbejdet.

Bekendtgørelsen fastsætter alene regler, som indebærer en styrkelse af databeskyttelsen, når det gælder udveksling af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union og Schengen-samarbejdet. Det fastsættes i den forbindelse navnlig, at behandling af oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold efter lovens § 7, stk. 6, ikke må ske, medmindre behandlingen er strengt nødvendig. Persondataloven stiller alene krav om, at en behandling af denne type oplysninger er "nødvendig".

Bestemmelsen i persondatalovens § 72 a og bekendtgørelsen udstedt i medfør heraf gennemfører en EU-rammeafgørelse fra 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (den såkaldte rammeafgørelse om databeskyttelse) i dansk ret.

3.1.5.4. Forventede ændringer af reglerne om politiets behandling af personoplysninger

Justitsministeriet har fremsat lovforslag med henblik på at gennemføre Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (retshåndhævelsesdirektivet) i dansk ret.

Gennemførelsen indebærer, at der skal ske ændringer i gældende dansk lovgivning om behandling af personoplysninger på det strafferetlige område, herunder persondataloven. Ændringerne vurderes imidlertid ikke at få betydning for rammen for politiets indsamling og anden behandling af oplysninger i forhold til efter gældende ret. Endvidere vil gennemførelsen ikke indebære ændringer i politiloven.

3.2. Justitsministeriets overvejelser og den foreslåede ordning

3.2.1. Tværgående informationsanalyser

Som beskrevet under lovforslagets pkt. 2.2.3 er politiets opgavevaretagelse hidtil blevet udført gennem bl.a. opslag i de tilgængelige oplysninger i politiets sagsbehandlingssystem, registre mv. - både i forbindelse med opgaver inden og uden for strafferetsplejen. Dette sker imidlertid som beskrevet ovenfor under pkt. 2.2.3 af flere årsager i dag ikke på en systematisk og systemunderstøttet måde. En mere systematisk og tværgående dataanvendelse og -analyse - herunder navnlig en videreanvendelse af data til andre formål end dem, de i snæver forstand er indsamlet til - er endvidere i dag ikke direkte hjemlet i lovgivningen.

Efter Justitsministeriets opfattelse må en tværgående anvendelse af de oplysninger, politiet behandler, grundlæggende anses som hensigtsmæssig og som udtryk for, hvordan en moderne politistyrke bør løse sine opgaver. Hertil kommer, at politiets muligheder for effektivt at imødegå de væsentlige udfordringer, som kriminalitetsbilledet og samfundsudviklingen indebærer, efter Justitsministeriets vurdering forudsætter, at politiet har mulighed for bedst muligt at udnytte de oplysninger politiet har til rådighed.

Lovforslaget har på denne baggrund til formål at sikre et klart retligt grundlag for politiets anvendelse af databaserede analyseredskaber på tværs af politiets virksomhed, således at det i det samlede lovgrundlag for politiets virksomhed fremgår, at politiets opgavevaretagelse understøttes af moderne arbejdsmetoder i form af tværgående informationsanalyser.

3.2.1.1. Den foreslåede ordning

3.2.1.1.1. Efter Justitsministeriets opfattelse bør der indføres en ny bestemmelse i politiloven, der giver et klart retligt grundlag for politiet til at gennemføre tværgående informationsanalyser, når dette politifagligt vurderes at være nødvendigt til brug for løsningen af de opgaver, som politiet er pålagt i medfør af politilovens § 2.

Forslaget indebærer derfor konkret, at dansk politi - inden for rammerne af navnlig persondatalovens bestemmelser - sikres et klart retligt grundlag for tværgående at tilgå og udnytte de oplysninger, der i dag behandles af politiet, jf. forslaget til en ny § 2 a, stk. 1, i lovforslagets § 1, nr. 1, med tilhørende bemærkninger.

Forslaget indebærer ikke regulering af politiets adgang til at indsamle oplysninger. I hvilket omfang politiet lovligt kan indsamle oplysninger vil således fortsat være reguleret af politilovens øvrige bestemmelser samt af den regulering, der i øvrigt finder anvendelse for politiets virksomhed, herunder retsplejeloven og persondataloven og bekendtgørelser udstedt i medfør heraf. Den foreslåede bestemmelse har således alene til formål at sikre en klar hjemmel for politiet til - såvel inden for som uden for strafferetsplejen og på tværs af hele dansk politi - at foretage tværgående analyser af de oplysninger politiet allerede kan indsamle i medfør af gældende ret. Det bemærkes i denne forbindelse, at sådanne tværgående analyser ikke forudsættes anvendt som led i politiets rent administrative afgørelsesvirksomhed, herunder f.eks. sager om meddelelse af våbentilladelse, besvarelse af aktindsigtsanmodninger mv.

3.2.1.1.2. Den adgang til at udnytte data, som lovforslaget medfører, forventes navnlig understøttet af politiets nyanskaffede analyseplatform (POL-INTEL), hvorved det forudsættes, at oplysninger om enkeltpersoner - herunder følsomme oplysninger om bl.a. strafbare forhold, helbredsoplysninger mv. - i videst muligt omfang kun tilgås på systemniveau. Ved dette forstås, at oplysningerne som det klare udgangspunkt kun præsenteres for den enkelte politimedarbejder på en måde, der kan identificere enkeltpersoner, når en sådan identifikation må anses for politifagligt nødvendig. Endvidere forudsættes det, at der sker anvendelse af systemets tekniske muligheder til sikring af, at f.eks. oplysninger indsamlet af politiet til brug for én sag eller opgave kun stilles til rådighed for løsningen af en anden sag eller opgave på en måde og i et omfang, der er proportionalt og nødvendigt.

Det bemærkes i øvrigt, at Rigspolitiet i 2016 etablerede en egentlig databeskyttelsesenhed, der bl.a. har til formål at sikre, at politiets behandling af personoplysninger, herunder navnlig inden for strafferetsplejen, finder sted i overensstemmelse med persondataretten.

Der henvises i øvrigt til forslaget til en ny § 2 a, stk. 1, i lovforslagets § 1, nr. 1, med tilhørende bemærkninger.

3.2.1.1.3. Det er Justitsministeriets vurdering, at detaljerede regler om politiets behandling af både personoplysninger og andre oplysninger mest hensigtsmæssigt fastsættes på bekendtgørelsesniveau. Det gælder både for den behandling, der finder sted i medfør af de foreslåede bestemmelser i § 2 a, stk. 1 og 2, og politiet behandling af oplysninger i øvrigt. Baggrunden herfor er at sikre en så konkret, teknologineutral og dækkende regulering som muligt. Samtidig vil det kunne sikres, at der - som det hidtil har været tilfældet i forhold til politiets behandling af personoplysninger - løbende vil kunne tages hensyn til og foretages nærmere regulering af nye værktøjer, systemer mv., som politiet tager i brug inden for de rammer, som lovforslaget etablerer. Endvidere vil det kunne sikres, at de teknologiske muligheder for behandling af store datamængder, som analyseplatformen medfører, ledsages af detaljerede regler om behandlingssikkerhed, herunder om adgang til data.

Den nærmere regulering på bekendtgørelsesniveau vil bl.a. skulle fastsætte, hvilke konkrete opgaver politiet kan anvende oplysninger og analyser til, samt regulere de tekniske og organisatoriske rammer, der skal gælde for politiets anvendelse af de pågældende oplysninger og analyser.

Der henvises i øvrigt til forslaget til en ny § 2 a, stk. 3, i lovforslagets § 1, nr. 1, med tilhørende bemærkninger.

3.2.2. Brugen af offentligt tilgængelige kilder

Politiets brug af oplysninger fra offentligt tilgængelige kilder udgør allerede i dag et værdifuldt supplement til politiets øvrige kilder, og som beskrevet under lovforslagets pkt. 2.4 er brugen af sådanne "open source"-kilder et stadigt mere vigtigt redskab for politiets opgavevaretagelse.

Politiets indsamling og behandling af oplysninger fra offentligt tilgængelige kilder er ikke underlagt særskilt regulering, men finder sted inden for rammerne af den lovgivning, som i øvrigt regulerer politiets opgavevaretagelse.

Desuden skal politiets indsamling og behandling af pe?r?so?no?pl?ysninger fra "open source" - ligesom politiets øvrige behandling af perso?no?p?l?ysninger - ske inden for rammerne af persondataloven.

Herudover er brugen af "open source" omfattet af artikel 8 i Den Europæiske Menneskerettighedskonvention om ret til respekt for privatliv og familieliv, hvilket indebærer, at de krav som konventionen stiller til bl.a. det hjemmelsmæssige grundlag for et sådant indgreb skal være opfyldt. Der henvises i øvrigt til det anførte under lovforslagets pkt. 5.

3.2.2.1. Den foreslåede ordning

3.2.2.1.1. Henset til politiets øgede brug af oplysninger fra offentligt tilgængelige kilder sammenholdt med den øgede digitalisering og de stigende datamængder fra offentligt tilgængelige kilder er det Justitsministeriets vurdering, at politiets indsamling og behandling af oplysninger fra offentligt tilgængelige kilder bør gives et klart hjemmelsgrundlag.

Det foreslås derfor, at der indsættes en udtrykkelig hjemmel i politiloven for politiet til at indsamle og behandle oplysninger fra offentligt tilgængelige kilder. I medfør af den foreslåede bestemmelse vil politiet have adgang til at indsamle oplysninger, både personoplysninger og andre oplysninger, fra enhver offentligt tilgængelig kilde. Begrebet "offentligt tilgængelige kilder" skal forstås bredt og omfatter således enhver informationskilde af både elektronisk og ikke-elektronisk karakter, herunder internettet, som inden for rammerne af gældende ret og uden gennemførelsen af et straffeprocessuelt tvangsindgreb kan tilgås i det offentlige rum. Oplysninger og kilder, der er tilgængelige på almindelige kommercielle vilkår, f.eks. gennem betaling af abonnement eller andre former for betalingstjenester, anses tillige som offentligt tilgængelige.

Lovforslaget indebærer ikke en udvidet adgang for politiet til at indsamle oplysninger via "open source"-kilder, men sikrer alene et klart hjemmelsgrundlag for politiets indsamling og behandling af - ofte betydelige mængder - oplysninger fra offentligt tilgængelige kilder. Ligeledes vil forslaget ikke indebære en ændring eller fravigelse af retsplejelovens bestemmelser, herunder om indgreb i meddelelseshemmeligheden, agentvirksomhed, forsvarerens adgang til aktindsigt mv. Det vil f.eks. sige, at hvis politiet i forbindelse med, at de skaffer sig adgang til et virtuelt miljø, overtræder straffelovens § 263, stk. 2, f.eks. via hacking, vil en sådan adgang forudsætte en retskendelse til f.eks. hemmelig ransagning efter retsplejelovens § 799. Tilsvarende vil politiet i forbindelse med deres ageren i f.eks. virtuelle miljøer skulle iagttage retsplejelovens regler om agentvirksomhed, herunder provokationsforbuddet i retsplejelovens § 754 b.

Der henvises i øvrigt til forslaget til en ny § 2 a, stk. 2, i lovforslagets § 1, nr. 1, med tilhørende bemærkninger.

3.2.2.1.2. Justitsministeriet finder endvidere, at politiets behandling, herunder spørgsmål om opbevaring og sletning, af oplysninger, som er indsamlet fra offentligt tilgængelige kilder, bør reguleres nærmere i en bekendtgørelse. Justitsministeriet lægger i den forbindelse vægt på, at en løbende indsamling af oplysninger fra offentligt tilgængelige datakilder kan indebære en unødig dataophobning, hvilket taler for, at der - under hensyntagen til politiets konkrete behov - foretages en nærmere regulering af politiets behandling, videregivelse, sletning mv. af sådanne oplysninger. Efter Justitsministeriets opfattelse vil det forhold, at oplysninger fra offentligt tilgængelige kilder kan have en varierende datakvalitet, ligeledes tale for, at der fastsættes regler for politiets anvendelse af oplysninger indsamlet herfra.

Der henvises i øvrigt til forslaget til en ny § 2 a, stk. 3, i lovforslagets § 1, nr. 1, med tilhørende bemærkninger.

3.2.2.1.3. Den foreslåede ordning indebærer ikke en fravigelse af persondatalovens bestemmelser eller af anden lovgivning. Politiets indsamling og behandling af oplysninger fra offentligt tilgængelige kilder vil således i det hele skulle finde sted inden for rammerne af persondataloven, retsplejeloven mv.

Gennem udnyttelsen af den foreslåede hjemmel for justitsministeren til at fastsætte nærmere regler for politiets behandling af oplysninger vil der blive fastsat konkrete rammer for politiets behandling af oplysninger, herunder pers?o?no?p?l?y?sninger, indsamlet fra offentligt tilgængelige kilder. Det forudsættes, at der i den forbindelse vil blive fastsat bestemmelser om, til hvilke formål politiet kan benytte oplysninger fra offentligt tilgængelige kilder, opbevaringsperioder, særlige organisatoriske og tekniske sikkerhedsforanstaltninger, herunder pseudonymisering af oplysninger, mv. Pseudonymisering betyder i denne sammenhæng behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret person uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person.

4. Adgang for politiet til oplysninger om passagerer og besætning på luftfartøjer

4.1. Gældende ret

4.1.1. Politiets indhentning af oplysninger om flypassagerer mv. efter udlændingelovens regler

Udlændingeloven, jf. lovbekendtgørelse nr. 412 af 9. maj 2016 med senere ændringer, indeholder bl.a. regler om politiets indrejsekontrol ved flyankomster fra lande, der ikke er tilsluttet Schengenkonventionen (de ydre Schengengrænser), og målrettet udlændingekontrol ved flyankomster fra Schengenlande (de indre Schengengrænser).

4.1.1.1. I relation til indrejsekontrollen ved flyankomster fra lande, der ikke er tilsluttet Schengenkonventionen (de ydre Schengengrænser), finder direktiv nr. 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (API-direktivet) anvendelse. API-direktivet indeholder bestemmelser om, at såkaldte API-oplysninger (Advanced Passenger Information) på den enkelte medlemsstats anmodning skal indsamles og stilles til rådighed for grænsekontrolmyndigheder i forbindelse med fly, der flyver ind på EU's område for derved at forbedre grænsekontrollen og bekæmpe ulovlig indvandring. API-direktivet, som bl.a. er gennemført ved § 12, stk. 4, i bekendtgørelse nr. 1197 af 26. september 2016 om udlændinges adgang her til landet, jf. herom nedenfor, forpligter luftfartsselskaberne til at indsamle og verificere API-oplysningerne ved flyankomster fra de ydre Schengengrænser. Luftfartsselskaberne skal således være i besiddelse af API-oplysninger for så vidt angår disse rejser.

API-oplysninger udgør i henhold til direktivets artikel 3, stk. 2, den anvendte rejselegitimations nummer og type, nationalitet, fulde navn, fødselsdato, det grænseovergangssted, der vil blive benyttet med henblik på indrejse her i landet, transportkode, afgangs- og ankomsttidspunkt for transporten, samlet antal passagerer, der befordres med den pågældende transport og første ombordstigningssted. Ifølge direktivets artikel 6, stk. 1, skal API-oplysningerne fremsendes til de myndigheder, der er ansvarlige for personkontrollen ved de ydre grænser, hvor passagerer rejser ind på en medlemsstats område. Formålet hermed er at forbedre grænsekontrollen og bekæmpe ulovlig indvandring, jf. direktivets artikel 1. Der er ikke fastsat yderligere kriterier for, hvornår API-oplysninger kan fremsendes til de relevante myndigheder.

API-direktivet er omfattet af det danske retsforbehold, men Danmark meddelte den 21. september 2004, at Danmark ønskede at gennemføre direktivet i dansk ret. Danmark oplyste samtidig, at gennemførelsen ikke krævede lovændringer. Direktivets bestemmelser er derefter bindende for Danmark på folkeretligt grundlag. Det bemærkes i den forbindelse, at det følger af artikel 4 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til Lissabon-Traktaten (protokollen om Danmarks stilling), at Danmark inden 6 måneder efter, at Rådet har truffet foranstaltning om et forslag om eller initiativ til udbygning af Schengenreglerne, træffer afgørelse om, hvorvidt Danmark vil gennemføre denne foranstaltning i sin nationale lovgivning. Hvis Danmark beslutter ikke at gennemføre rådsforanstaltningen, overvejer de medlemsstater, der er bundet af foranstaltningen, og Danmark, hvilke passende foranstaltninger der skal træffes.

API-direktivet er bl.a. gennemført i bekendtgørelse nr. 1197 af 26. september 2016 om udlændinges adgang her til landet. Bekendtgørelsen er bl.a. udstedt i medfør af udlændingelovens § 38, stk. 4, hvorefter udlændinge- og integrationsministeren kan fastsætte nærmere regler om ind- og udrejsekontrol, herunder om politiets adgang til luftfartsselskabernes bookingsystemer.

Bekendtgørelsens § 12, stk. 4, fastslår, at luftfartsselskaber forud for luftfartøjets ankomst til politiet skal levere oplysninger om de ombordværende passagerers og besætningsmedlemmers fulde navn, fødselsdato, køn, nationalitet, rejselegitimation (type, nummer, udstedende myndighed og udløbsdato), grænseovergangssted i Danmark, luftfartøjets transportkode og afgangs- og ankomsttidspunkt samt oplysninger om passagerers oprindelige ombordstigningssted, rejserute og bookingkode. Disse oplysninger udgør API-oplysninger. Oplysningerne skal afgives elektronisk eller på anden af Rigspolitiet fastsat måde.

Overtrædelse af bestemmelsen kan straffes med bøde eller fængsel indtil fire måneder, jf. bekendtgørelsens § 46, stk. 2. Sanktionen ved overtrædelse skal i overensstemmelse med API-direktivet have afskrækkende virkning, være effektiv og stå i et rimeligt forhold til overtrædelsen. Det følger således af artikel 4 i API-direktivet, at medlemsstaterne skal træffe de nødvendige foranstaltninger til at pålægge transportvirksomheder, der på grund af en fejl undlader at videregive personoplysninger eller videregiver ufuldstændige eller urigtige personoplysninger, sanktioner. Medlemsstaterne skal endvidere træffe de nødvendige foranstaltninger til at sikre, at sanktionerne har afskrækkende virkning, er effektive og står i et rimeligt forhold til overtrædelsen, samt at maksimumbeløbet for sådanne sanktioner enten er mindst 5.000 euro, eller at minimumsbeløbet er mindst 3.000 euro for hver rejse, for hvilke passageroplysninger ikke er fremsendte eller er ukorrekte.

Det fremgår endvidere af udlændingelovens § 38, stk. 8, at politiet til brug for bl.a. ind- og udrejsekontrol kan modtage passageroplysninger fra toldmyndighederne.

Det bemærkes, at politiets adgang til oplysningerne ikke er udmøntet i praksis, herunder fordi det har været teknisk kompliceret at få adgang til API-oplysninger i en form, der kan bruges til en elektronisk søgning i politiets registre. Politiet har imidlertid i december 2016 etableret en midlertidig løsning, der er baseret på, at de enkelte flyselskaber leverer oplysninger til politiet, og som sikrer politiet adgang til API-oplysninger for så vidt angår visse ankomster, som vedrører den ydre grænse.

4.1.1.2. Der findes ingen specifik EU-regulering om, at API-oplysninger kan stilles til rådighed for relevante myndigheder ved flyankomster fra Schengenlande (de indre Schengengrænser).

For så vidt angår udlændingekontrollen ved flyankomster fra Schengenlande følger det imidlertid af udlændingelovens § 38, stk. 8, at politiet også til brug for den målrettede udlændingekontrol som nævnt i bestemmelsens stk. 6 (politiets kontrol af personer efter indrejse i Danmark for at fastslå de pågældendes identitet, nationalitet eller opholdsret) kan modtage passageroplysninger fra toldmyndighederne. Det fremgår af bestemmelsens forarbejder, jf. Folketingstidende 2014-15 (1. samling), A, L 95 som fremsat, pkt. 2.8.2 på side 8-9, at de oplysninger, som politiet vil kunne modtage, er oplysninger omfattet af § 17 i toldloven, dvs. samme oplysninger som SKAT har adgang til, jf. nærmere herom i pkt. 4.1.2 nedenfor.

Det følger endvidere af udlændingelovens § 38, stk. 9, at udlændinge- og integrationsministeren kan fastsætte nærmere regler om politiets kontrol, herunder om politiets adgang til passageroplysninger. Denne bemyndigelse er udnyttet ved bekendtgørelse nr. 640 af 12. maj 2015 om kontrol af ulovligt ophold efter indrejse, som fastsætter nærmere regler om udlændingekontrol i de grænsenære områder, herunder ved flyankomster fra et Schengenland.

Det fremgår af bekendtgørelsens § 4, at luftfartsselskaber vedrørende luftfartøjer, der ankommer fra et Schengenland, på begæring af politiet forud for luftfartøjets ankomst skal levere oplysninger om de ombordværende passagerers og besætningsmedlemmers fulde navn, grænseovergangssted i Danmark, luftfartøjets transportkode og afgangs- og ankomsttidspunkt samt oplysninger om passagerernes oprindelige ombordstigningssted, rejserute og bookingkode, såfremt disse oplysninger er tilgængelige. Oplysningerne afgives elektronisk eller på anden af Rigspolitiet fastsat måde. Overtrædelse af bestemmelsen straffes med bøde, jf. bekendtgørelsens § 6.

Det fremgår herudover af bekendtgørelsens § 5, at politiet sletter modtagne personhenførbare oplysninger senest 24 timer efter, at passagererne er indrejst, medmindre oplysningerne senere er nødvendige til varetagelsen af politiets øvrige opgaver.

Det bemærkes, at politiets adgang til oplysningerne ikke er udmøntet i praksis, herunder fordi det har været teknisk kompliceret at få adgang til API-oplysninger i en form, der kan bruges til en elektronisk søgning i politiets registre. Den midlertidige løsning, jf. ovenfor, kan også anvendes på de indre grænser. Det bemærkes, at luftfartsselskaberne - modsat hvad der gælder ved flyankomster fra ikke-Schengenlande - ikke er forpligtet til at indsamle eller verificere API-oplysninger ved flyankomster fra Schengenlande. Luftfartsselskaberne vil således ikke nødvendigvis være i besiddelse af API-oplysninger, herunder eksempelvis oplysninger om pas, fødedato og lignende, for så vidt angår disse rejser.

4.1.2. SKATs adgang til oplysninger om passagerer og besætning på luftfartøjer og den etablerede hjemmel til at videregive oplysningerne til Politiets Efterretningstjeneste (PET)

Med bestemmelsen i § 17, stk. 4, i toldloven, jf. lovbekendtgørelse nr. 1223 af 20. september 2016, som ændret ved § 2 i lov nr. 1881 af 29. december 2015, der trådte i kraft den 1. januar 2017, har SKAT fået hjemmel til at modtage oplysninger om passagerer og besætning på luftfartøjer (såkaldte PNR-oplysninger) - herunder API-oplysninger, der er en delmængde af PNR-oplysninger, jf. herom nedenfor - til brug for forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13. Toldlovens § 17, stk. 4, forpligter således luftfartsselskaberne til at sende PNR-oplysninger, herunder API-oplysninger, til den elektroniske løsning, som SKAT har etableret pr. 1. januar 2017 til håndtering af oplysninger om flypassagerer. Oplysningerne overføres automatisk til SKAT. Det følger tilsvarende af § 4, stk. 2, i PET-loven, jf. lovbekendtgørelse nr. 231 af 7. marts 2017, at SKAT skal videregive oplysninger om passagerer og besætning på luftfartøjer til PET, hvis tjenesten vurderer, at oplysningerne kan have betydning for varetagelse af tjenestens opgaver vedrørende forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13.

Det fremgår af toldlovens § 17, stk. 6, at skatteministeren efter forhandling med justitsministeren fastsætter nærmere regler om oplysningsforpligtelsen efter stk. 4, herunder hvordan oplysningerne stilles til rådighed for told- og skatteforvaltningen, og med hvilke intervaller oplysningerne skal meddeles. Der kan endvidere fastsættes regler om told- og skatteforvaltningens behandling af de oplysninger, der modtages.

Det er med hjemmel heri fastsat i § 85 a, stk. 1, i bekendtgørelse nr. 403 af 3. maj 2012 om toldbehandling med senere ændringer, der trådte i kraft den 1. januar 2017, at luftfartsselskaber har pligt til at give bl.a. API-oplysninger til SKAT, i det omfang luftfartsselskaberne som led i deres virksomhed har indsamlet disse oplysninger. API-oplysninger i bekendtgørelsen defineres på samme måde som i direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet (PNR-direktivet) og omfatter bl.a. typen, nummeret, udstedelseslandet og udløbsdatoen for ethvert identitetsdokument, nationalitet, efternavn, fornavn, køn, fødselsdato, luftfartsselskab, rutenummer, afgangsdato, ankomstdato, afgangslufthavn, ankomstlufthavn afgangstidspunkt og ankomsttidspunkt. Pligten til at levere API-oplysninger omfatter både ikke-verificerede oplysninger, som f.eks. er indsamlet af luftfartsselskaberne i forbindelse med booking af billetten, samt verificerede oplysninger, som f.eks. er indsamlet af luftfartselskaberne i forbindelse med check-in og paskontrol mv. i lufthavnen. Det fremgår af bestemmelsens stk. 2, at oplysningerne skal videregives elektronisk til SKATs elektroniske løsning i det format, som SKAT fastsætter. I særlige tilfælde kan videregivelse dog ske ved brug af et hvilket som helst andet middel, der sker i overensstemmelse med de til enhver tid gældende regler om datasikkerhed.

Det fremgår af bekendtgørelsens § 85 b, stk. 1, der ligeledes trådte i kraft den 1. januar 2017, at SKAT kun må behandle de oplysninger, der modtages fra luftfartsselskaberne i medfør af bekendtgørelsens § 85 a, med henblik på toldkontrol eller med henblik på videregivelse til PET til brug for varetagelse af sine opgaver vedrørende forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13. Reglerne i toldlovgivningen giver således ikke hjemmel til at stille oplysninger fra den elektroniske løsning til rådighed for politiet i øvrigt.

Det bemærkes, at der frem til 1. juli 2017 er etableret en overgangsordning, således at luftfartsselskaberne frem til denne dato kan levere bl.a. API-oplysninger til SKAT på anden vis end til SKATs elektroniske løsning.

Det bemærkes endvidere, at toldlovens § 17, stk. 4, ikke omfatter overførsel af følsomme personoplysninger - dvs. oplysninger om en persons racemæssige eller etniske oprindelse, religiøse eller filosofiske overbevisning, politiske meninger, medlemskab af fagforening, eller oplysninger som ve?dr?ø?rer den pågældende persons helbred eller seksualitet. Sådanne oplysninger vil skulle filtreres fra.

I medfør af toldlovens § 79, nr. 1 og 2, straffes virksomheder, der driver trafik med luftfartøjer, med bøde, hvis de undlader at give oplysninger, som told- og skatteforvaltningen kan afkræve den pågældende virksomhed efter bl.a. toldlovens § 17, stk. 4, eller hvis virksomheden undlader at efterkomme et i medfør af § 17, stk. 4, meddelt påbud.

4.2. Justitsministeriets overvejelser og den foreslåede ordning

4.2.1. Politiet har efter de gældende regler i udlændingelovens § 38, stk. 4, 8 og 9, samt de administrative regler udstedt i medfør heraf, hjemmel til at modtage API-oplysninger til et udlændingekontrolmæssigt formål (ind- og udrejsekontrol og målrettet udlændingekontrol). Som nærmere omtalt under pkt. 4.1.1 ovenfor, kan politiet allerede i medfør af § 12, stk. 4, i bekendtgørelse nr. 1197 af 26. september 2016 om udlændinges adgang her til landet (om kontrollen ved flyankomster fra de ydre Schengengrænser) og § 4 i bekendtgørelse nr. 640 af 12. maj 2015 om kontrol af ulovligt ophold efter indrejse (kontrollen ved de indre Schengengrænser) indhente API-oplysninger direkte fra luftfartsselskaberne.

Som nævnt under lovforslagets pkt. 4.1.2 har SKAT pr. 1. januar 2017 med ikraftsættelsen af toldlovens § 17, stk. 4, etableret en elektronisk løsning til håndtering af oplysninger om flypassagerer, således at SKAT automatisk kan modtage ovennævnte oplysninger fra luftfartsselskaberne, herunder med henblik på at stille oplysningerne til rådighed for PET til brug for forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13. Denne ordning forventes at være helt på plads til juli 2017, når den etablerede overgangsordning for luftfartsselskaberne er ophørt. Toldlovens § 17, stk. 4, giver alene hjemmel for SKAT til at stille oplysninger fra den elektroniske løsning til rådighed for PET, men ikke for politiet i øvrigt.

Efter Justitsministeriets opfattelse vil politiets adgang til at modtage de API-oplysninger, som de allerede i dag i medfør af udlændingeloven har adgang til at modtage med henblik på målrettet udlændingekontrol, mere hensigtsmæssigt kunne ske via den omtalte elektroniske løsning hos SKAT. En sådan ordning vil sikre, at luftfartsselskaberne alene skal levere oplysninger til ét sted (SKAT) frem for til både politiet og SKAT. Dermed pålægges luftfartsselskaberne ikke yderligere administrative forpligtelser ved at skulle stille de samme oplysninger til rådighed for flere forskellige myndigheder, ligesom politiet ikke vil skulle etablere parallelle elektroniske løsninger til indhentning af oplysninger set i forhold til den elektroniske løsning, SKAT har etableret.

4.2.2. Det foreslås på den baggrund at fastsætte som nyt stk. 7 i toldlovens § 17 at luftfartsselskaber har pligt til at give oplysninger om flypassagerer og besætningsmedlemmer på luftfartøjer, som virksomhederne er i besiddelse af, til told- og skatteforvaltningen (SKAT) til brug for politiets opgaver vedrørende ind- og udrejsekontrol og målrettet udlændingekontrol i medfør af udlændingelovens § 38. Det foreslåede nye stk. 7 indebærer, at SKAT fremover vil have hjemmel til at stille API-oplysninger (såvel verificerede som ikke-verificerede), som politiet allerede i dag har hjemmel til at modtage, til rådighed for politiet i medfør af ovennævnte elektroniske løsning. Hermed vil luftfartsselskaberne alene skulle videregive oplysningerne til SKAT. Som det fremgår ovenfor, følger det af § 12, stk. 4, i bekendtgørelse om udlændinges adgang her til landet, der implementerer API-direktivet, at luftfartsselskaberne skal indsamle og stille API-oplysninger til rådighed for politiet.

Formuleringen "politiets opgaver i medfør af udlændingelovens § 38" skal således forstås i overensstemmelse med politiets eksisterende kontrol i medfør af udlændingelovens § 38, jf. herom under pkt. 4.1.1. Forslaget medfører ikke, at politiet vil få adgang til flere oplysninger end politiet allerede efter de gældende regler i udlændingelovens § 38 har hjemmel til at modtage direkte fra luftfartsselskaberne, ligesom der ikke foreslås nogen udvidelse af de formål, til hvilke politiet kan indhente oplysninger i forbindelse med udlændingekontrollen.

Det bemærkes endvidere, at SKATs beføjelser i forhold til luftfartsselskaberne ikke udvides med den foreslåede ordning. Det bemærkes i den forbindelse, at det som nævnt ovenfor følger af § 12, stk. 4, i bekendtgørelse om udlændinges adgang her til landet, der implementerer API-direktivet, at luftfartsselskaberne skal indsamle og stille API-oplysninger til rådighed for politiet.

4.2.3. Oplysningerne vil i overensstemmelse med dansk politis organisering kunne leveres til både Rigspolitiet og de enkelte politikredse, hvis det konkret vurderes at være nødvendigt med henblik på at varetage ovennævnte opgaver.

Politiet vil kunne behandle de indhentede oplysninger i overensstemmelse med den foreslåede bestemmelse i politilovens § 2 a, stk. 1, jf. lovforslagets § 1. Der henvises for nærmere herom til lovforslagets pkt. 3.2.1.

Det bemærkes i den forbindelse, at de myndigheder, der er ansvarlige for personkontrollen ved de ydre grænser, i medfør af API-direktivets artikel 6, stk. 1, 2. pkt., skal lagre API-oplysningerne i en midlertidig fil. Det fremgår endvidere af bestemmelsens stk. 1, 3. pkt., at disse myndigheder sletter oplysningerne inden 24 timer efter fremsendelsen, medmindre oplysningerne senere er nødvendige for udøvelsen af de lovpligtige funktioner, som påhviler de myndigheder, der har ansvaret for personkontrollen ved de ydre grænser i henhold til national lovgivning. Denne forpligtelse vil fortsat finde anvendelse.

4.2.4. Det foreslås endelig at fastsætte som stk. 8, at skatteministeren efter forhandling med justitsministeren fastsætter nærmere regler om oplysningsforpligtelsen efter den foreslåede nye bestemmelse i stk. 7 (om politiets adgang til at modtage API-oplysninger via SKATs elektroniske løsning), herunder hvordan oplysningerne stilles til rådighed for told- og skatteforvaltningen, og med hvilke intervaller oplysningerne skal meddeles. Der kan endvidere fastsættes regler om told- og skatteforvaltningens behandling af de oplysninger, der modtages.

Det skyldes lovtekniske grunde, at bemyndigelsen foreslås fastsat som et selvstændigt nyt stk. 8. Den foreslåede bestemmelse i toldlovens § 17, stk. 8, er således identisk med den eksisterende bemyndigelsesbestemmelse i toldlovens § 17, stk. 6, og skal alene sikre, at der efter behov også kan fastsættes regler i f.eks. toldbehandlingsbekendtgørelsen om SKATs indhentning af API-oplysninger til politiet på samme måde som der er fastsat regler om PET's adgang. Det bemærkes i den forbindelse som også nævnt oven for i pkt. 4.1.1.1 og 4.1.1.2, at udlændinge- og integrationsministeren allerede i dag i henhold til udlændingelovens § 38, stk. 4 og 8, er bemyndiget til at fastsætte regler om henholdsvis ind- og udrejsekontrol, herunder om politiets adgang til flyselskabernes bookingsystemer, udenlandske besætningsmedlemmers ophold her i landet, om på- og afmønstring her i landet af udenlandske besætningsmedlemmer og om de pligter, der påhviler skibsførere og luftfartøjschefer (i forhold til de ydre Schengengrænser), og om den målrettede udlændingekontrol som nævnt i stk. 6 (politiets kontrol af personer efter indrejse i Danmark for at fastslå de pågældendes identitet, nationalitet eller opholdsret), herunder om politiets adgang til passageroplysninger (i forhold til de indre Schengengrænser).

Der henvises til lovforslagets § 2 (forslag til nyt stk. 7 og 8 i toldlovens § 17) og bemærkningerne hertil.

4.2.5. Det bemærkes, at lovforslaget ikke indebærer en fravigelse af persondatalovens regler. Politiets behandling af de indhentede API-oplysninger vil således i det hele skulle finde sted inden for persondatalovens rammer.

Det bemærkes endvidere, at det efter udlændingelovgivningen allerede er strafbart for luftfartsselskaberne at tilsidesætte pligterne til at levere API-oplysninger til politiet til brug for udlændingekontrol. Tilsidesættelse af de pligter, der påhviler luftfartsselskaberne i forhold til at levere API-oplysninger til politiet via SKAT, vil således også efter de foreslåede ændringer skulle sanktioneres i henhold til udlændingelovgivningen, jf. nærmere herom i lovforslagets pkt. 4.1.1.1 og 4.1.1.2. Der foreslås derfor ikke ændringer af strafbestemmelserne i toldlovgivningen i denne forbindelse.

4.2.6. Det bemærkes, at regeringen arbejder på at opnå dansk tilknytning til PNR-direktivet, så Danmark kan deltage i det kommende europæiske PNR-samarbejde. Bliver Danmark fuldt ud en del af PNR-direktivet, skal der oprettes en PNR-enhed, der fremover vil være dataansvarlig for indsamlingen af PNR-oplysningerne (herunder API-oplysninger). PNR-enheden skal ifølge PNR-direktivet være en myndighed, som har kompetence til at forebygge og efterforske terrorhandlinger eller grov kriminalitet, f.eks. politiet. Det it-system, som indsamler PNR-oplysninger, er placeret hos SKAT i øjeblikket. Hvis Danmark opnår en aftale om tilknytning til PNR-direktivet, vil det formentlig - afhængig af aftalens nærmere indhold - betyde, at dataansvaret for it-systemet skal overflyttes til en myndighed, som er omfattet af PNR-direktivet, f.eks. PET eller det øvrige politi.

5. Forholdet til Den Europæiske Menneskerettighedskonvention

5.1. Det er i den Europæiske Menneskerettighedskonvention (EMRK) artikel 8, stk. 1, fastsat, at enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance. Det er i artikel 8, stk. 2, desuden fastsat, at ingen offentlig myndighed må gøre indgreb i udøvelsen af denne ret, medmindre det sker i overensstemmelse med loven og er nødvendigt i et demokratisk samfund af hensyn til den nationale sikkerhed, den offentlige tryghed eller landets økonomiske velfærd, for at forebygge uro eller forbrydelse, for at beskytte sundheden eller sædeligheden eller for at beskytte andres rettigheder og friheder.

Offentlige myndigheders behandling af oplysninger, der har forbindelse til enkeltpersoners privatliv, er omfattet af retten til respekt for privatliv, jf. bl.a. I mod Finland, dom af 17. juli 2008, præmis 35.

Det bemærkes i den forbindelse, at også offentligt tilgængelige oplysninger om enkeltpersoners privatliv kan være omfattet af retten til privatliv, når sådanne oplysninger indsamles og behandles i offentlige myndigheders registre, hvilket navnlig er tilfældet, når der er tale om oplysninger, som ve?dr?ø?rer forhold, der ligger langt tilbage i tid, jf. herved Rotaru mod Rumænien, dom af 4. maj 2000, præmis 43 og 44.

Den behandling af personoplysninger, som lovforslaget omfatter, vil efter Justitsministeriets opfattelse således kunne udgøre et indgreb i retten til respekt for privatliv, jf. EMRK artikel 8, stk. 1. Et sådant indgreb vil alene kunne retfærdiggøres efter EMRK artikel 8, stk. 2, hvis indgrebet er foreskrevet ved lov, hvis det varetager et eller flere anerkendelsesværdige formål, og hvis det er nødvendigt i et demokratisk samfund for at opnå det eller de anførte formål (krav om proportionalitet).

Den del af lovforslaget, som vedrører politiets anvendelse af databaserede analyseredskaber, har til formål at styrke den analyse- og videnbaserede tilgang til politiets opgavevaretagelse, således at politiet har mulighed for effektivt at imødegå de væsentlige udfordringer, som kriminalitetsbilledet og samfundsudviklingen indebærer. Behandlingen af oplysninger varetager således hensynet til den nationale sikkerhed, den offentlige tryghed og til at forebygge uro eller forbrydelse.

Lovforslaget må efter Justitsministeriets opfattelse endvidere anses for nødvendigt i et demokratisk samfund for at forfølge de nævnte hensyn. Ministeriet har herved lagt vægt på, at tværgående informationsanalyser og anden behandling af offentligt tilgængelige oplysninger, herunder personoplysninger, er en naturlig og grundlæggende forudsætning for politiets varetagelse af dets funktioner og opgaver, og at politiet i opgavevaretagelsen i stigende grad er afhængig af at kunne analysere stadig større datamængder.

Der er endvidere lagt vægt på, at politiets behandling af oplysninger alene kan finde sted, når det politifagligt vurderes at være nødvendigt af hensyn til udførelsen af politiets opgaver.

Justitsministeriet har desuden tillagt det vægt, at de konkrete rammer for politiets anvendelse af tværgående informationsanalyser mv. vil blive reguleret ved bekendtgørelse, herunder vil der blive fastsat nærmere retningslinjer for, hvilke konkrete opgaver politiet kan anvende oplysninger til. Ligeledes forudsættes politiets behandling af oplysninger indsamlet fra offentligt tilgængelige kilder nærmere reguleret i en bekendtgørelse, herunder vil der blive fastsat nærmere regler for oplysningernes behandling, videregivelse, sletning mv.

Endelig er der lagt vægt på, at lovforslaget alene hjemler adgang for politiet til at behandle oplysninger inden for rammerne af betingelserne i retsplejeloven og persondataloven, og at forslaget ikke ændrer på den adgang, som politiet i dag har til at behandle oplysninger.

Justitsministeriet finder på den baggrund, at lovforslaget kan gennemføres inden for rammerne af Danmarks forpligtelser efter EMRK.

5.2. Den del af lovforslaget, der vedrører politiets adgang til API-oplysninger via SKATs elektroniske løsning, giver ikke anledning til særskilt at redegøre for forholdet til EMRK. Politiet har således allerede i dag hjemmel til at modtage API-oplysninger fra luftfartsselskaberne. Lovforslaget ve?drører alene den måde (den kanal), hvorved politiet kan indhente de pågældende oplysninger.

6. Økonomiske og administrative konsekvenser for det offentlige

Forslaget vurderes ikke at have økonomiske eller administrative konsekvenser for det offentlige af betydning.

7. Økonomiske og administrative konsekvenser for erhvervslivet mv.

Lovforslaget vurderes ikke at have økonomiske og administrative konsekvenser for erhvervslivet af betydning.

Det bemærkes, at forslag til nyt stk. 7 og 8 i toldloven i forhold til de gældende regler vil indebære, at politiet via den elektroniske løsning hos SKAT kan indhente oplysninger, som luftfartsselskaberne i forvejen indsamler, og som de i forvejen leverer til SKAT.

8. Administrative konsekvenser for borgerne

Lovforslaget vurderes ikke at have administrative konsekvenser for borgerne.

9. Miljømæssige konsekvenser

Lovforslaget har ingen miljømæssige konsekvenser.

10. Forholdet til EU-retten

Lovforslaget indeholder ikke EU-retlige aspekter.

11. Hørte myndigheder og organisationer mv.

Et udkast til lovforslag har i perioden fra den 10. februar 2017 til den 10. marts 2017 været sendt i høring hos følgende myndigheder og organisationer:

Østre Landsret, Vestre Landsret, Sø- og Handelsretten, samtlige byretter, Advokatrådet, Amnesty International, AOPA Danmark, Arbejderbevægelsens Erhvervsråd, Billund Lufthavn, Brancheforeningen Dansk Luftfart, CEPOS, Cevea, Copenhagen Business School, Juridisk Institut, Danmarks Rederiforening, Danmarks Rejsebureau Forening, Danske Advokater, Dansk Erhverv, Dansk IT, Dansk Told- og Skatteforbund, Datatilsynet, Den Danske Dommerforening, Det Kriminalpræventive Råd, DI, Dommerfuldmægtigforeningen, Domstolsstyrelsen, Foreningen af Offentlige Anklagere, Foreningen af Statsadvokater, Foreningen af Rejsearrangører i Danmark, FSR-Danske Revisorer, Institut for Menneskerettigheder, IT-Politisk Forening, Justitia, Kraka, Københavns Lufthavne A/S, Københavns Universitet, Det Juridiske Fakultet, Landsforeningen af Forsvarsadvokater, Landsskatteretten, Politiforbundet, Politidirektørforeningen, Retspolitisk Forening, Rigsadvokaten, Rigsombudsmanden på Færøerne, Rigsombudsmanden på Grønland, Rigspolitiet, Rådet for Digital Sikkerhed, Skatteankestyrelsen, SRF Skattefaglig Forening, Syddansk Universitet, Juridisk Institut, Aalborg Lufthavn, Aalborg Universitet, Juridisk Institut og Aarhus Universitet, Juridisk Institut.

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Til nr. 1

Det foreslås, at der indsættes en § 2 a i politiloven om politiets brug og behandling af oplysninger som led i løsningen af de opgaver, politiet er pålagt ved lovens § 2.

Den foreslåede bestemmelse fastsætter i stk. 1, at politiet foretager tværgående informationsanalyser på baggrund af enhver oplysning, som politiet behandler, når det er nødvendigt til brug for løsningen af politiets opgaver.

Efter bestemmelsen vil politiet - i det omfang dette politifagligt vurderes at være nødvendigt - understøtte sin opgaveløsning gennem informationsanalyser foretaget på baggrund af de oplysninger, som politiet i medfør af gældende ret har adgang til at indsamle og behandle.

Bestemmelsen indebærer konkret, at dansk politi - inden for rammerne af navnlig retsplejeloven og persondatalovens bestemmelser - sikres en klar hjemmel for at tilgå og udnytte de oplysninger, der i dag behandles af politiet til brug for løsningen af så mange af politiets opgaver som muligt og derigennem understøtte politiets mål om at arbejde analyse- og videnbaseret ("intelligence-led policing").

Bestemmelsen indebærer ikke en ændring af politiets adgang til at indsamle oplysninger. Hvorvidt politiet lovligt kan indsamle oplysninger vil således fortsat være reguleret af politilovens øvrige bestemmelser samt af den regulering, der i øvrigt finder anvendelse for politiets virksomhed, herunder retsplejeloven og persondataloven. Bestemmelsen sikrer således alene, at der er en klar hjemmel for politiet til - såvel inden for som uden for strafferetsplejen og på tværs af hele dansk politi - at behandle, videregive m.v. de oplysninger, politiet allerede har indsamlet og løbende kan indsamle, i overensstemmelse med gældende ret. Dette vil bl.a. sikre, at der er det fornødne grundlag for politiet til at anvende samtlige de datakilder, som politiet har til rådighed til brug for løsningen af politiets opgaver, herunder navnlig til at foretage videreanvendelse af data til andre formål end dem, de i snæver forstand er indsamlet til.

Bestemmelsen forudsættes ikke anvendt som led i politiets rent administrative afgørelsesvirksomhed, herunder f.eks. sager om meddelelse af våbentilladelse, besvarelse af aktindsigtsanmodninger mv.

Vurderingen af, hvornår tværgående informationsanalyser er nødvendige af hensyn til udførelsen af politiets opgaver, vil - som hidtil efter gældende ret - være en politifaglig vurdering, som foretages under hensyntagen til politilovens opgavebeskrivelse i lovens § 2. Tværgående informationsanalyser kan f.eks. anvendes i forbindelse med generel kriminalitetsforebyggelse, konkrete efterforskninger eller varetagelsen af politiets opgaver uden for strafferetsplejen, f.eks. udlændingekontrol. Bestemmelsen i den foreslåede § 2 a, stk. 1, vil således ikke kunne anvendes som led i generel informationssøgning, men vil alene kunne bringes i anvendelse, når det er vurderet, at den relevante opgave har en karakter, der nødvendiggør tværgående analyse. I praksis vil dette bl.a. blive sikret gennem politiets systemunderstøttelse, der bl.a. vil stille krav om, at enhver gennemførelse af en tværgående analyse omfattet af bestemmelsen er knyttet til en konkret sag. Dog vil medarbejdere, der skal håndtere faste opgaver inden for nærmere afgrænsede områder, f.eks. operatører i politiets vagtcentraler, som har til opgave at disponere patruljevogne mv. som led i det døgnbemandede beredskab, kunne tildeles en generel og tilpasset adgang til at foretage de informationssammenstillinger mv., som er nødvendige for at varetage opgaven. Ligeledes vil f.eks. analysemedarbejdere, der har til opgave at gennemføre større analyser, tilvejebringe ledelsesinformation om kriminalitetsudvikling mv., kunne anvende en generelt beskrevet adgang tilpasset disse formål.

Begrebet "tværgående informationsanalyser" omfatter analyser i bredeste forstand, herunder sammenstillinger, samkøring mv. af data inden for politiets datakilder eller på tværs af flere kilder. Politiets datakilder omfatter dels politiets registre i form af bl.a. Det Centrale Kriminalregister, dels de øvrige registre, kilder mv., som politiet har adgang til i medfør af gældende ret f.eks. Det Centrale Personregister (CPR) og de databaser, som politiet har adgang til som led i internationalt politisamarbejde gennem bl.a. Europol og Interpol. En tværgående informationsanalyse i forbindelse med en strafferetlig efterforskning vil f.eks. kunne afdække mønstre eller hidtil ukendte relationer i forbindelse med kortlægning af rocker- og bandegrupperinger, og dermed understøtte politiets monitering af bandemiljøet og den aktuelle konfliktsituation. En sådan informationsanalyse kan også anvendes til at etablere mistænkte personers rejseaktiviteter, kontakter, anvendte kommunikationsformer mv. på tværs af aktuelle og afsluttede sager. I forbindelse med udlændingekontrol kan tværgående informationsanalyser f.eks. anvendes til at målrette den videnbaserede kontrol i det grænsenære område, bl.a. gennem sammenstilling af oplysninger om kendte rejsemønstre, efterretninger modtaget fra internationale samarbejdspartnere og åbne kilder.

Særligt i forhold til det i bestemmelsen angivne om, at informationsanalyser kan være tværgående, bemærkes det, at enhver behandling af personoplysninger til brug for en tværgående informationsanalyse vil skulle ske i overensstemmelse med gældende ret, herunder navnlig de nærmere regler, der forudsættes fastsat i medfør af det foreslåede stk. 3 i bestemmelsen, samt øvrig gældende lovgivning og EU-retlig regulering. Der henvises i den forbindelse til det anførte vedrørende det foreslåede stk. 3.

Der henvises i øvrigt til pkt. 3.2.1 i lovforslagets almindelige bemærkninger.

Særligt for så vidt angår den sammenstilling af oplysninger, der med lovforslaget skal kunne ske via POL-INTEL (en tværgående analyse), bemærkes det, at analysen ikke i sig selv anses for et dokument, der er undergivet aktindsigt. Hvis der derimod dannes en rapport af den foretagne tværgående analyse, og denne rapport arkiveres på en sag i politiets sagsbehandlingssystem POLSAS, vil der kunne være tale om et dokument, der kan søges aktindsigt i. Den fortsatte opbevaring af analysen - og en eventuel rapport dannet på baggrund heraf - i POL-INTEL vil derimod ikke være undergivet aktindsigt.

Herudover foreslås det i bestemmelsens stk. 2, lovfæstet, at politiet kan indsamle og behandle enhver oplysning fra offentligt tilgængelige kilder, når det er nødvendigt til brug for løsningen af politiets opgaver.

Med denne bestemmelse indføres et klart hjemmelsgrundlag til, at politiet kan indsamle og behandle enhver oplysning fra offentligt tilgængelige kilder, der er nødvendig for udførelsen af politiets opgaver, jf. politilovens § 2.

Der henvises i øvrigt til pkt. 3.2.2 i lovforslagets almindelige bemærkninger.

Den nærmere vurdering af, hvornår indsamling og behandling af oplysninger fra offentligt tilgængelige kilder er nødvendig for udførelsen af politiets opgaver, skal - lige som det gør sig gældende for politiets indsamling og behandling af oplysninger i øvrigt - foretages med udgangspunkt i den lovgivning mv., der regulerer politiets virksomhed, herunder de administrative forskrifter, der fastsættes af justitsministeren i medfør af stk. 3. Der vil således - ligesom ved politiets behandling af oplysninger i øvrigt - skulle foretages en konkret politifaglig vurdering af, om det er nødvendigt for udførelsen af politiets opgaver, når der indsamles og behandles oplysninger fra offentligt tilgængelige kilder.

Begrebet "behandler" i de foreslåede bestemmelser i § 2 a skal forstås i overensstemmelse med § 3, nr. 2, i persondataloven, hvorefter behandling omfatter enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for. Begrebet omfatter også videregivelse på tværs af flere dataansvarlige. De foreslåede bestemmelser i § 2 a omfatter imidlertid - til forskel fra persondataloven, der kun regulerer behandling af personoplysninger, jf. lovens § 1, jf. § 3, nr. 1 - enhver oplysning, som politiet måtte behandle.

Der henvises i øvrigt til pkt. 3.1.5.1 i lovforslagets almindelige bemærkninger.

Udover de ændringer, de foreslåede bestemmelser i § 2 a, stk. 1 og 2, indebærer, vil spørgsmålet om hvorvidt politiet lovligt kan indsamle og behandle oplysninger fortsat være reguleret af politilovens øvrige bestemmelser samt af den regulering, der i øvrigt finder anvendelse for politiets virksomhed, herunder retsplejeloven og persondataloven. Bestemmelsen sikrer således alene, at der er en klar hjemmel for politiet til - såvel inden for som uden for strafferetsplejen og på tværs af hele dansk politi - at behandle, videregive, videreanvende mv. de oplysninger, politiet allerede har indsamlet og løbende kan indsamle, i overensstemmelse med gældende ret. Dette vil bl.a. sikre, at der er et klart retligt grundlag for politiet til at anvende samtlige de datakilder, som politiet har til rådighed til brug for løsningen af politiets opgaver.

Der henvises i øvrigt til pkt. 3.2.2.1.3 i lovforslagets almindelige bemærkninger.

Der foreslås i bestemmelsens stk. 3 indsat hjemmel for justitsministeren til at fastsætte nærmere regler for politiets behandling af oplysninger, herunder den, der finder sted i medfør af stk. 1 og 2. I medfør af bestemmelsen vil der således kunne fastsættes regler om enhver behandling af oplysninger, herunder personoplysninger, omfattet af politilovens anvendelsesområde.

Det forudsættes, at justitsministeren udnytter hjemlen i det foreslåede stk. 3, således at det er en betingelse for behandling af oplysninger efter den foreslåede § 2 a, stk. 1 og 2, at der er fastsat nærmere regler på bekendtgørelsesniveau med konkrete rammer for politiets anvendelse af tværgående informationsanalyser og indsamling af oplysninger fra offentligt tilgængelige kilder. Det forudsættes således, at bestemmelsen i den foreslåede § 2 a ikke sættes i kraft, førend sådanne regler er fastsat på bekendtgørelsesniveau.

Bestemmelsen forudsætter således, at justitsministeren fastsætter regler, som sikrer et passende beskyttelsesniveau i forbindelse med politiets gennemførelse af tværgående analyser, indsamling og behandling af oplysninger fra åbne kilder og i øvrigt som led i varetagelsen af politiets opgaver. Det forudsættes samtidigt, at de betingelser for politiets dataanvendelse, som vil blive fastsat i medfør af bestemmelsen, ikke unødigt hindrer politiets effektive opgavevaretagelse. I medfør af bestemmelsen vil der bl.a. blive fastsat nærmere regler om, til hvilke formål oplysninger kan behandles, hvornår sletning af oplysninger skal finde sted, samt om de tekniske og organisatoriske foranstaltninger, der skal iagttages ved behandlingen.

For så vidt angår adgangen til at gennemføre tværgående informationsanalyser omfattet af bestemmelsens stk. 1, forudsættes det navnlig fastsat, at sådanne analyser alene må gennemføres, når der er en konkret og nærmere afgrænset anledning. Tværgående informationsanalyser vil således ikke kunne anvendes til generel informationssøgning som led i mere ekspeditionsprægede opgaver mv., men vil alene kunne bringes i anvendelse, når det er vurderet, at den relevante opgave har en karakter, der nødvendiggør tværgående analyse. I praksis vil dette navnlig blive sikret gennem politiets systemunderstøttelse, der bl.a. vil stille krav om, at enhver gennemførelse af en tværgående analyse er knyttet til en konkret sag. Det bemærkes dog, at medarbejdere, der skal håndtere faste opgaver inden for nærmere afgrænsede områder, f.eks. operatører i politiets vagtcentraler, som har til opgave at disponere patruljevogne mv. som led i det døgnbemandede beredskab, vil kunne tildeles en generel og tilpasset adgang til at foretage de informationssammenstillinger mv., som er nødvendige for at varetage opgaven. Ligeledes vil f.eks. analysemedarbejdere, der har til opgave at gennemføre større analyser, tilvejebringe ledelsesinformation om kriminalitetsudvikling mv., kunne anvende en generelt beskrevet adgang tilpasset disse formål.

Der vil endvidere efter bestemmelsen i relevant omfang kunne fastsættes regler om politiets behandling af pe?r??s?o?no?pl?ysn?inger udover den behandling, der finder sted i medfør af stk. 1 og 2. Der vil således i medfør af bestemmelsen kunne fastsættes regler om enhver behandling af personoplysninger, som politiet foretager, herunder den behandling, der er omfattet af de nuværende bekendtgørelser udstedt i medfør af persondataloven, jf. pkt. 3.1.5.3.1 i lovforslagets almindelige bemærkninger. I den forbindelse vil der bl.a. i relevant omfang kunne ske ændringer eller ophævelser af de administrative forskrifter, der i dag fastsætter begrænsninger for tværgående informationsanalyser og behandling af personoplysninger i den forbindelse. Dette vil bl.a. kunne indebære ændringer af de bekendtgørelser, der regulerer politiets brug af Politiets Efterforskningsstøttedatabase (PED) og af automatisk nummerpladegenkendelse (ANPG). Som beskrevet nærmere nedenfor vil regulering af den behandling af personoplysninger, der finder sted i de relevante systemer mv., fremover navnlig skulle finde sted i medfør af den foreslåede bestemmelses stk. 3.

Det bemærkes, at der - navnlig i lyset af den adgang til at foretage tværgående informationsanalyser, som fremgår af bestemmelsens stk. 1 - vil være behov for at foretage en mere samlet og ensartet regulering af politiets databehandlinger på bekendtgørelsesniveau. Dette vil, som det også er tilfældet i dag, skulle finde sted inden for rammerne af navnlig persondatalovens regler. En sådan samlet regulering vil dog ligeledes skulle tage hensyn til indholdet af de EU-retlige forpligtelser, der følger af retshåndhævelsesdirektivet.

Konkret vil der efter bestemmelsen kunne fastsættes nærmere regler om, i hvilke tilfælde tværgående informationsanalyser må finde sted og under anvendelse af hvilke kilder. Der vil ligeledes bl.a. kunne fastsættes de nødvendige regler for dansk politis anvendelse af moderne it-systemer, analyseredskaber og arbejdsmetoder.

Det vil bero på de konkrete omstændigheder samt navnlig en fortolkning af de relevante persondataretlige krav, hvilke præcise forhold, der i den forbindelse skal reguleres. Det er dog - med forbehold for den tekniske implementering - forventeligt, at der bl.a. fastsættes krav til, hvilke typer strafbare forhold, der kan berettige mere omfangsrige tværgående informationsanalyser, jf. det generelle krav om proportionalitet, som bl.a. er udtrykt i persondatalovens § 5, og den nødvendighedsvurdering, der følger af persondataloven såvel som af den foreslåede bestemmelses stk. 1 og 2.

I praksis vil der således i relevant omfang kunne fastsættes krav om, at der, i højere grad end det er muligt ved anvendelse af politiets nuværende it-systemer, sker en begrænsning af mængden af personoplysninger, der udstilles som led i den enkelte medarbejders gennemførelse af tværgående informationsanalyser.

Der vil ligeledes kunne fastsættes krav om, at der i relevant omfang sker pseudonymisering af per?sonoplysninger, således at f.eks. opgaver, der ikke forudsætter adgang til fuldt personhenførbare oplysninger, løses på en sådan måde, at personoplysningerne, der anvendes, ikke kan henføres til en bestemt person uden brug af supplerende oplysninger. Der vil således i relevant omfang kunne fastsættes regler om, at oplysninger om enkeltpersoner - herunder følsomme per?so?no?pl?ysn?inger om bl.a. strafbare forhold, helbredsoplysninger mv. - i videst muligt omfang kun tilgås på systemniveau. Ved dette forstås, at oplysningerne som det klare udgangspunkt kun præsenteres for den enkelte politimedarbejder på en måde, der kan identificere enkeltpersoner eller afsløre følsomme oplysninger, når dette konkret må formodes at være politifagligt nødvendigt.

Endvidere vil reglerne kunne forudsætte, at der gennem bruger- og adgangsstyring sikres, at oplysninger indsamlet af politiet til brug for én sag eller opgave kun stilles til rådighed for løsningen af en anden sag eller opgave på en måde og i et omfang, der er proportionalt og nødvendigt.

Endelig vil reglerne kunne sikre en findelt styring af, hvilke datafelter, der konkret stilles til rådighed til brug for en sag mv.

De krav, der fastsættes efter stk. 3, vil således både kunne afspejle de krav, der følger af de gældende persondataretlige regler, men vil også på en række punkter kunne være strengere.

Det forudsættes endvidere, at justitsministeren i medfør af bestemmelsen fastsætter nærmere regler for politiets behandling af personoplysninger indsamlet fra offentligt tilgængelige kilder, jf. den foreslåede bestemmelse i § 2 a, stk. 2. Der vil i den forbindelse bl.a. kunne fastsættes regler om, til hvilke formål politiet kan benytte offentligt tilgængelige kilder, hvor længe indsamlede oplysninger kan behandles, anvendelsen af særlige organisatoriske og tekniske sikkerhedsforanstaltninger, herunder pseudonymisering af oplysninger, og politiets vurdering af oplysningernes pålidelighed mv., jf. det ovenfor anførte.

Der henvises i øvrigt til pkt. 3.2.1.1.3 og 3.2.2.1.2 i lovforslagets almindelige bemærkninger.

Til § 2

Politiet har allerede i dag hjemmel til at indhente en række såkaldte API-oplysninger til brug for politiets opgaver vedrørende målrettet udlændingekontrol. Dette fremgår af udlændingelovens § 38, stk. 4, 8 og 9, samt administrative regler udstedt i medfør heraf. Politiet skal efter disse regler indhente oplysningerne direkte fra luftfartsselskaberne.

Efter toldlovens § 17, stk. 4, modtager told- og skatteforvaltningen (SKAT) automatisk - via SKATs elektroniske løsning til håndtering af oplysninger om flypassagerer - ovennævnte type oplysninger fra luftfartsselskaberne. Oplysningerne modtages til brug for udøvelse af toldkontrol samt forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13. SKAT har imidlertid ikke hjemmel til at stille oplysningerne til rådighed for politiet til brug for politiets varetagelse af opgaver efter udlændingelovens § 38.

Det foreslås at fastsætte som nyt stk. 7, i toldlovens § 17, at SKAT også kan modtage oplysninger fra luftfartsselskaberne til brug for politiets opgaver i medfør af udlændingelovens § 38. Den foreslåede bestemmelse vil alene betyde, at politiet kan modtage API-oplysningerne (såvel verificerede som ikke-verificerede) via SKATs elektroniske løsning. Bestemmelsen medfører derimod ikke, at politiet kan indhente flere oplysninger eller at politiet kan indhente oplysninger i et videre omfang, end de har hjemmel til efter de gældende regler.

Det foreslås at fastsætte som stk. 8, at skatteministeren efter forhandling med justitsministeren fastsætter nærmere regler om oplysningsforpligtelsen efter stk. 7, herunder hvordan oplysningerne stilles til rådighed for told- og skatteforvaltningen, og med hvilke intervaller oplysningerne skal meddeles. Der kan endvidere fastsættes regler om told- og skatteforvaltningens behandling af de oplysninger, der modtages.

Det skyldes lovtekniske grunde, at bemyndigelsen foreslås fastsat som et selvstændigt nyt stk. 8. Den foreslåede bestemmelse i toldlovens § 17, stk. 8, er således identisk med den eksisterende bemyndigelsesbestemmelse i toldlovens § 17, stk. 6, og skal alene sikre, at der efter behov også kan fastsættes regler i f.eks. toldbehandlingsbekendtgørelsen om SKATs indhentning af API-oplysninger til politiet på samme måde som der er fastsat regler om PET's adgang.

Om det nærmere indhold af bemyndigelsesbestemmelsen kan henvises til bemærkningerne til toldlovens § 17, stk. 6, jf. Folketingstidende 2015-16, A, L 23 som fremsat, side 22.

Som det fremgår heraf, indebærer den foreslåede bemyndigelsesbestemmelse bl.a., at skatteministeren i samarbejde med justitsministeren i en bekendtgørelse vil kunne fastsætte regler om, hvilke typer af oplysninger luftfartsselskaber har pligt til at give om deres passagerer og besætning. Der vil endvidere kunne blive fastsat nærmere regler om, hvordan luftfartsselskaberne skal give de omhandlede oplysninger til SKAT, og med hvilke tidsmæssige intervaller pligten til at afgive oplysningerne indtræder. Bestemmelsen indebærer, at det i en bekendtgørelse kan fastsættes nærmere, hvordan og hvornår oplysningerne skal stilles til rådighed for SKAT.

Der vil desuden efter den foreslåede bemyndigelsesbestemmelse - som tilfældet også er med den eksisterende bestemmelse i toldlovens § 17, stk. 6 - kunne fastsættes regler om SKATs behandling af de oplysninger, der modtages.

Det bemærkes, at persondatalovens almindelige regler for behandling af personoplysninger finder anvendelse for SKATs behandling af de indhentede oplysninger.

Bemyndigelsen vil ligesom toldlovens § 17, stk. 6, kunne udnyttes til, inden for de persondataretlige rammer, at fastsætte nærmere regler for behandling af personoplysninger, herunder om tekniske og organisatoriske sikkerhedsforanstaltninger, sletning, og om SKATs interne kontrol med behandling og opbevaring af personoplysninger.

Der vil endvidere kunne fastsættes frister for, hvor længe oplysningerne vil kunne opbevares i den elektroniske løsning (slettefrister). Slettefristerne vil afhænge af, hvor længe det er nødvendig at opbevare oplysningerne til brug politiets opgaver i medfør af udlændingelovens § 38. Disse regler vil skulle efterleve reglerne i persondataloven og udlændingelovgivningen, herunder API-direktivet, og vil blive implementeret og kontrolleret som en fast intern kontrol. Det forudsættes, at sådanne slettefrister ikke vil overstige 2 år.

Der vil desuden kunne blive fastsat regler om adgangen for SKATs medarbejdere til de indhentede oplysninger. Disse regler vil bl.a. omfatte, at it-løsningen alene vil kunne anvendes af et begrænset antal personer, der får særlig tilladelse hertil, at brugen af systemet vil skulle registreres (logges) mv., og at der vil skulle foretages løbende kontrol af, at der ikke foretages unødvendige opslag eller anden unødvendig brug af systemet.

Efter persondatalovens § 57 gælder, at der i forbindelse med udarbejdelse af bekendtgørelser, cirkulærer eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, skal indhentes en udtalelse fra Datatilsynet. De nærmere regler om behandling af personoplysninger, som vil blive fastsat, vil således blive sendt i høring hos Datatilsynet inden udstedelsen heraf.

Det bemærkes, at SKATs beføjelser i forhold til luftfartsselskaberne ikke udvides med den foreslåede ordning. Det bemærkes i den forbindelse, at det som nævnt ovenfor følger af § 12, stk. 4, i bekendtgørelse om udlændinges adgang her til landet, der implementerer API-direktivet, at luftfartsselskaberne skal indsamle og stille API-oplysninger til rådighed for politiet.

Der henvises til pkt. 4.2 i lovforslagets almindelige bemærkninger.

Til § 3

Det foreslås i § 3, at justitsministeren fastsætter tidspunktet for lovens ikrafttræden. Ministeren kan herunder fastsætte, at forskellige dele af loven træder i kraft på forskellige tidspunkter.

Idet det er fundet nødvendigt at udstede en række bekendtgørelser om anvendelsen af de nye muligheder for politiets databehandling, som lovforslagets § 1 åbner op for, forudsættes det, at loven først sættes i kraft samtidig med de bekendtgørelser, der udstedes i medfør af den foreslåede bestemmelse i § 2 a, stk. 3. Forud herfor vil politiet således ikke have adgang til at udføre tværgående informationsanalyser i lovens forstand.

Lovforslagets § 2 om toldlovens § 17, stk. 7 og 8, vil først kunne sættes i kraft, når Rigspolitiet har etableret en it-løsning til indhentning og håndtering af API-oplysninger, og det er testet, at løsningen virker.

Til § 4

Det foreslås i § 4, at loven ikke gælder for Færøerne og Grønland, men at lovens § 1 om ændring af politiloven ved kongelig anordning helt eller delvist kan sættes i kraft for Færøerne og Grønland med de ændringer, som de grønlandske og færøske forhold tilsiger.

Sagsområdet vedrørende toldloven er overtaget af Færøerne og Grønland. Den foreslåede ændring af toldloven i lovens § 2 skal derfor ikke kunne sættes i kraft for Færøerne og Grønland.

Bilag 1

Lovforslaget sammenholdt med gældende lov