L 107 - 2018-19 (1. samling) - Endeligt svar på spørgsmål 10: Spm., om PNR-enheden vil foretage en manuel gennemgang af samtlige PNR-oplysninger, der indeholder feltet generelle bemærkninger, for at slette eventuelle følsomme personoplysninger, eksempelvis ønsker om særlige måltider eller behov for særlig assistance, til justitsministeren

Retsudvalget 2018-19 (1. samling)
L 107
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

11. december 2018

Internationalt Politikon-

tor

Anna Seneberg Winkel

2018-731-0027

942388

Hermed sendes besvarelse af spørgsmål nr. 7 vedrørende forslag til lov om

indsamling, anvendelse og opbevaring af oplysninger om flypassagerer

(PNR-loven) (L107), som Folketingets Retsudvalg har stillet til justitsmini-

steren den 4. december 2018.

Søren Pape Poulsen

Morten Duus

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

L 107 - 2018-19 (1. samling) - Endeligt svar på spørgsmål 10: Spm., om PNR-enheden vil foretage en manuel gennemgang af samtlige PNR-oplysninger, der indeholder feltet generelle bemærkninger, for at slette eventuelle følsomme personoplysninger, eksempelvis ønsker om særlige måltider eller behov for særlig assistance, til justitsministeren

Spørgsmål nr. 7 fra Folketingets Retsudvalg vedrørende forslag til lov

om indsamling, anvendelse og opbevaring af oplysninger om flypassa-

gerer (PNR-loven) (L 107):

”Vil ministeren redegøre for, hvordan Rigspolitiet som data-

ansvarlig skal opfylde sine forpligtelser efter bl.a. retshåndhævel-

sesloven, når PNR-enheden behandler PNR-oplysninger for PET

og FE, idet det efter beskrivelsen i det supplerende høringsnotat

af 27. november 2018 er PET og FE som bestemmer, hvordan

denne behandling skal foregå, og Rigspolitiets databeskyttelses-

rådgiver ikke vil være ansvarlig for at føre tilsyn med den behand-

ling, som foretages for PET og FE i PNR-enheden?”

Svar:

Rigspolitiet er efter lovforslaget dataansvarlig for den behandling af per-

sonoplysninger, der foretages i PNR-enheden. Det betyder i praksis, at Rigs-

politiet navnlig er ansvarlig for, at sletningskravene i lovforslagets §§ 5, 6,

8 og 9 samt maskeringskravet i lovforslagets § 7, stk. 1, dokumentations-

kravet i lovforslagets § 23 og logningskravet i lovforslagets § 24 overhol-

des.

Rigspolitiet er ved at etablere en it-løsning til brug for PNR-enhedens be-

handling af PNR-oplysninger. Retshåndhævelsesloven fastslår i den forbin-

delse, at den dataansvarlige skal sikre databeskyttelse gennem design, jf.

retshåndhævelseslovens § 20, og at det dokumenteres, hvordan it-systemer

understøtter de databeskyttelsesretlige forpligtelser, jf. retshåndhævelseslo-

vens § 23. Rigspolitiets databeskyttelsesrådgiver (DPO) og databeskyttel-

sesenhed vil på den baggrund formulere de kravspecifikationer til det kom-

mende it-system, der skal sikre, at it-systemet teknisk understøtter lovfor-

slagets krav til databeskyttelse. Dette arbejde samt en fortegnelse over den

kommende databehandling bliver i den forbindelse dokumenteret, og doku-

mentationen vil være tilgængelig for tilsynsmyndigheden.

Vedrørende afmaskering af PNR-oplysninger fremgår det af lovforslagets

§ 7, stk. 2, nr. 1, at det er henholdsvis rigspolitichefen eller den, som be-

myndiges hertil, der skal godkende en afmaskering. I Rigspolitiet vil denne

opgave blive varetaget af PNR-enheden og underlagt intern ledelsesmæssig

kontrol. Endvidere vil DPO’en i medfør af lovforslagets § 7, stk. 3, blive

underrettet om beslutningen om afmaskering efter § 7, stk. 2, nr. 1, og vil

skulle foretage en efterfølgende kontrol af, om betingelserne for afmaske-

ring er opfyldt. DPO’en underretter PNR-enheden og, hvis det er relevant,

de berørte myndigheder, hvis betingelserne for afmaskering ikke er opfyldt.

Såfremt databeskyttelsesrådgiveren konstaterer gentagne eller alvorlige

overtrædelser af betingelserne for afmaskering, vil rådgiveren kunne fore-

lægge dette for Rigspolitiets ledelse og eksempelvis indstille, at der træffes

passende organisatoriske eller tekniske tiltag, der kan understøtte en efter-

levelse af reglerne. Databeskyttelsesrådgiveren vil endelig kunne forelægge

eventuelle spørgsmål mv. for Datatilsynet.

Datatilsynet vil således være tilsynsmyndighed for så vidt angår PNR-enhe-

dens behandling af personoplysninger. Tilsynet med Efterretningstjene-

sterne er tilsynsmyndighed for så vidt angår PNR-enhedens behandling af

personoplysninger for Politiets Efterretningstjeneste og Forsvarets Efterret-

ningstjeneste.