L 62 - 2015-16 - Bilag 9: Bemærkninger til Datatilsynets høringssvar, fra udlændinge-, integrations- og boligministeren

Udlændinge-, Integrations- og Boligudvalget 2015-16
L 62 Bilag 9
Offentligt

Udlændinge-, Integrations- og Boligministe-

riet

Slotsholmsgade 10

1216 København K

Sendt til:

[email protected]

19. november 2015

Datatilsynet

Borgergade 28, 5.

1300 København K

CVR-nr. 11-88-37-29

Telefon 3319 3200

Fax 3319 3218

E-mail

[email protected]

www.datatilsynet.dk

J.nr. 2015-112-0492

Sagsbehandler

Cathrine Serup Raasdal

Direkte 3319 3213

Vedrørende udkast til forslag til lov om ændring af udlændingeloven

(Håndtering af flygtninge- og migrantsituationen)

Ved e-mail af 17. november 2015 (sendt kl. 17.56) har Udlændinge- Integra-

tions- og Boligministeriet anmodet om Datatilsynets eventuelle bemærkninger

til ovennævnte lovforslag senest den 19. november 2015, klokken 12.

Datatilsynet har ved e-mail af 18. november 2015 gjort Udlændinge- Integra-

tions- og Boligministeriet opmærksom på, at tilsynet – i lyset af den meget

korte høringsfrist sammenholdt med lovforslagets omfang – alene agter at

komme med bemærkninger til lovforslagets pkt. 2.9., da ministeriet specifikt

har henvist hertil. Datatilsynet har således ikke gennemgået resten af lov-

forslaget, hvorfor manglende bemærkninger ikke skal tages som udtryk for, at

tilsynet ikke kunne have haft bemærkninger, hvis der var blevet givet en rime-

lig høringsfrist.

Efter en gennemgang af lovforslagets pkt. 2.9. skal Datatilsynet indlednings-

vist bemærke, at tilsynet har noteret sig, at alle behandlinger af personoplys-

ninger i forbindelse med optagelse af fingeraftryk til brug for adgangskontrol

og afvikling af meldepligt vil ske i overensstemmelse med persondatalovens

regler.

Tilsynet har desuden noteret sig, at de foretagne behandlinger af personoplys-

ninger vil ske under iagttagelse af sikkerhedsbekendtgørelsen

Herudover giver lovforslagets pkt. 2.9. Datatilsynet anledning til at komme

med følgende mere specifikke bemærkninger:

1. Optagelse af fingeraftryk

1.1.

Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af per-

sonoplysninger, som helt eller delvis foretages ved hjælp af elektronisk data-

behandling og for ikke-elektronisk behandling af personoplysninger, der er

eller vil blive indeholdt i et register.

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af

personoplysninger, som behandles for den offentlige forvaltning.

L 62 - 2015-16 - Bilag 9: Bemærkninger til Datatilsynets høringssvar, fra udlændinge-, integrations- og boligministeren

Ved personoplysninger forstås ifølge lovens § 3, stk. 1, enhver form for in-

formation om en identificeret eller identificerbar fysisk person (den registre-

rede).

Begrebet behandling omfatter ifølge lovens § 3, nr. 2, enhver operation eller

række af operationer med eller uden brug af elektronisk databehandling, som

oplysninger gøres til genstand for. Ifølge lovens forarbejder omfatter dette

eksempelvis indsamling, opbevaring, brug og videregivelse.

Det er Datatilsynets opfattelse, at der såvel i forbindelse med indsamling af

fingeraftryk, som ved den efterfølgende brug (matchning) af templaten af af-

trykket, er tale om behandlinger af personoplysninger omfattet af persondata-

loven.

1.2.

Et fingeraftryk eller en matematisk værdi af et fingeraftryk – en såkaldt

template – må efter Datatilsynets opfattelse anses for en almindelig ikke-

følsom oplysning omfattet af persondatalovens § 6.

Behandling af almindelige ikke-følsomme oplysninger skal ske i overens-

stemmelse med persondatalovens § 6, stk. 1, nr. 1-7. Behandlingen kan heref-

ter bl.a. ske, hvis behandlingen er nødvendig af hensyn til udførelsen af en

opgave, der henhører under offentlig myndighedsudøvelse som den dataan-

svarlige eller en tredjemand, til hvem oplysningerne videregives, har fået på-

lagt, jf. § 6, stk. 1, nr. 6.

1.3.

Datatilsynet skal endvidere henlede opmærksomheden på, at det fremgår

af persondatalovens § 5, stk. 2, at indsamling af oplysninger skal ske til ud-

trykkeligt angivne og saglige formål, og at senere behandling ikke må være

uforenelig med disse formål.

Det følger endvidere af § 5, stk. 3, at oplysninger, som behandles, skal være

relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til op-

fyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil

oplysningerne senere behandles.

1.4.

Datatilsynet skal desuden påpege, at optagelse af fingeraftryk til de i lov-

forslaget angivne formål kan have væsentlig indvirkning på de indkvarterede

personers privatliv. Indførsel af elektronisk adgangskontrol ved brug af fin-

geraftryksscannere bør derfor ikke ske uden en grundig vurdering af indvirk-

ningerne på privatlivets fred.

I den forbindelse kan der efter Datatilsynets opfattelse endvidere være behov

for at overveje, hvordan der med brug af såkaldte privatlivsfremmende tekno-

logier kan skabes en yderligere beskyttelse af oplysningerne. Datatilsynet kan

f.eks. pege på muligheden af, at håndteringen af fingeraftrykket sker adskilt

fra oplysningerne om den indkvarteredes identitet og billede. Datatilsynet

anbefaler således, at det overvejes, hvorvidt det er muligt at håndtere oplys-

ninger om fingeraftryk og øvrige identifikationsoplysninger, adskilt, i de til-

L 62 - 2015-16 - Bilag 9: Bemærkninger til Datatilsynets høringssvar, fra udlændinge-, integrations- og boligministeren

fælde, hvor der ikke foreligger et reelt behov for at kunne sammenholde disse

oplysninger i forbindelse med indgang og udgang fra udrejsecenteret.

2. Behandlingssikkerhed og dataansvar

2.1.

Ifølge persondatalovens 41, stk. 3, skal den dataansvarlige træffe de for-

nødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplys-

ninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt

mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt

behandles i strid med loven.

Af § 42, stk. 1, følger, at når en dataansvarlig overlader en behandling af op-

lysninger til en databehandler skal den dataansvarlige sikre sig, at databehand-

leren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikker-

hedsforanstaltninger, og påse, at dette sker.

Efter § 42, stk. 2, skal gennemførelse af en behandling ved en databehandler

ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det frem-

gå, at databehandleren alene handler efter instruks fra den dataansvarlige, og

at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehand-

leren.

2.2.

Datatilsynet bemærker i den forbindelse, at det ikke følger af hverken

udkastet til lovforslaget eller de almindelige bemærkninger, hvem der er data-

ansvarlig for behandlingen af oplysningerne om fingeraftryk til brug for ad-

gangskontrol og afvikling af meldepligt. Det fremgår endvidere ikke, hvordan

oplysningerne vil blive opbevaret, og om den dataansvarlige myndighed be-

nytter sig af en databehandler til behandling oplysningerne på den dataansvar-

liges vegne.

Datatilsynet skal på denne baggrund anbefale, at dataansvaret nærmere præci-

seres i forarbejderne.

3. Samkøring af personoplysninger

3.1.

Det følger af bemærkningerne til lovforslaget, at oplysninger om den ind-

kvarteredes færden baseret på scanning af fingeraftryk vil kunne videregives

til bl.a. politiet i kontrol- og tilsynsøjemed for så vidt angår udlændinge, der

er pålagt meldepligt efter udlændingelovens § 34.

I relation til etablering af muligheden for at sammenkøre oplysninger om ind-

gang og udgang af centrene med politiets registreringer over personer, der er

pålagt meldepligt skal Datatilsynet bemærke, at tilsynet i sin praksis forudsæt-

ter, at myndigheder i forbindelse med sammenstilling og samkøring i kontrol-

øjemed bl.a. har et klart og utvetydigt retsgrundlag at arbejde på, og at de per-

soner, der berøres af kontrolordningen, skal have forudgående information om

kontrolordningen, jf. persondatalovens

§ 5, stk. 1.

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

L 62 - 2015-16 - Bilag 9: Bemærkninger til Datatilsynets høringssvar, fra udlændinge-, integrations- og boligministeren

3.2.

Datatilsynet skal desuden gøre opmærksom på, at persondataloven skal

iagttages af alle myndigheder, som modtager personoplysninger med henblik

på kontrolsamkøring.

Myndighedernes behandling af de modtagne oplysninger skal således bl.a. ske

under iagttagelse af de grundlæggende krav i persondataloven,

herunder

reg-

lerne om de registrerede personers rettigheder i persondatalovens kapitel 8-10.

Datatilsynet forudsætter, at alle de personer, der berøres af kontrolordningen,

modtager forudgående information, samt at der efter modtagelsen af oplys-

ninger ligeledes leves op til oplysningspligten.

4. Afsluttende bemærkninger

Kopi af dette brev er sendt til Justitsministeriets lovafdeling til orientering.

Datatilsynet forudsætter, at nærværende høringssvar medsendes til det rele-

vante folketingsudvalg.

Med venlig hilsen

Jesper Husmer Vang

Specialkonsulent