11.4.1 Behandling av personopplysninger Forslaget til ny grenselov baserer seg på allerede etablerte og regulerte ordninger for gjennom-føring av grensekontroll med tilhørende behand-ling av opplysninger, i stor grad forankret i inter-nasjonale rettsakter som Norge har tiltrådt eller er bundet av, og har gjennomført i norsk rett og praksis. Med et nytt lovgrunnlag bør imidlertid den rettslige forankringen for behandling av opp-lysninger som ledd i utøvelsen av grensekontroll tydeliggjøres og styrkes. Siden oppgavene som reguleres av lovforslaget favner bredt og
involve-rer flere myndigheter, bør lovforslaget også sikre enhetlige og oversiktlige regler og tilstrekkelige hjemler for mer detaljerte forskrifter.
Som nevnt i punkt 11.1, reguleres behandling av opplysninger i forbindelse med grensekontroll både av personopplysningsloven og av politiregis-terloven. Politiregisterloven gjelder imidlertid bare når behandlingen skjer elektronisk, og for manuell behandling når opplysningene inngår eller skal inngå i et register, og der formålet også er kriminalitetsbekjempelse. I praksis vil behand-ling av opplysninger i stor grad skje i registre.
Slike registre må i henhold til politiregisterloven
§ 14 være regulert ved forskrift. Behandling av opplysninger i forbindelse med grensekontroll vil følge personopplysningsloven, med mindre formå-let også er kriminalitetsbekjempelse og det er gitt en egen forskrift om behandlingen i politiregister-forskriften del 11.
EU vedtok i april 2016 en ny forordning om behandling av personopplysninger, forordning (EU) 2016/679. Forordningen erstatter person-verndirektiv 95/46/EF, som er inntatt i EØS-avta-len og gjennomført i personopplysningsloven.
Forordningen begynner å gjelde i EU 25. mai 2018. Det tas sikte på at forordningen skal innlem-mes i EØS-avtalen og gjennomføres i norsk rett gjennom en ny personopplysningslov.
Forordningen viderefører i det vesentlige de grunnleggende prinsippene i personopplysnings-loven. I motsetning til gjeldende lov krever imid-lertid forordningen at det for behandling av per-sonopplysninger i forbindelse med myndighetsut-øvelse som regel må finnes et supplerende rettslig grunnlag for behandlingen, jf. art. 6 nr. 1, jf. nr. 3.
Det er også nytt at biometriske opplysninger med det formål å entydig identifisere en fysisk person er å anse som sensitive personopplysninger, jf. art.
9 nr. 1. Behandling av sensitive opplysninger er i utgangspunktet forbudt, og slike opplysninger kan bare behandles når det er adgang til dette er unntaksreglene i art. 9 nr. 2. Etter art. 9 nr. 2 bok-stav g) kan sensitive personopplysninger behand-les dersom det er nødvendig av hensyn til viktige samfunnsinteresser og det foreligger et retts-grunnlag i nasjonal rett.
Departementet foreslår at det gis en uttrykke-lig hjemmel for behandling av opplysninger som er nødvendig til gjennomføringen av oppgavene etter grenseloven, jf. lovforslaget § 22. Som følge av dette foreslås også det rettslige grunnlaget for grense- og territorialkontrollregisteret (GTK) for-ankret i grenseloven, slik at forskriftsregulerin-gen av registeret i politiregisterforskriften kapittel 55 vil være hjemlet i grenseloven når denne trer i
kraft. Gjeldende forskriftsregulering av hvilke opplysninger som kan registreres i GTK dekker i utgangspunktet også opplysninger som følger av meldeplikten for API-data, men det er behov for nye forskriftsregler som blant annet tydeliggjør de særlige slettekravene etter API-direktivet, jf.
punkt 9.4. I forskriftsarbeidet vil departementet foreta en nærmere vurdering av om registrerin-gen av passasjerdata bør samreguleres med GTK i politiregisterforskriften, eller reguleres i forskrift til grenseloven.
Utlendingslovens forarbeider forutsetter at det i forbindelse med grensekontroll kan foretas søk i utlendingsmyndighetenes datasystemer for å bringe på det rene om en person skal nektes inn-reise. I høringsnotat 30. august 2016 foreslo departementet en ny bestemmelse i utlendings-loven for blant annet å tydeliggjøre hjemmels-grunnlaget for politiets tilgang til utlendingsmyn-dighetenes datasystemer i forbindelse med gren-sekontroll og alminnelig utlendingskontroll. For-slagene i høringssaken følges opp i egen prosess, og vurderes sammen med andre spørsmål knyttet til behandling av opplysninger i utlendingsforvalt-ningen og politiets tilgang til opplysutlendingsforvalt-ningene, for-trinnsvis med tanke på regulering i utlendings-loven.
Den gjeldende hjemmelen i passloven § 6 a tredje ledd for innhenting av biometrisk person-informasjon i forbindelse med grensepassering foreslås overført til grenseloven, der den tematisk hører hjemme. Som nevnt ovenfor er biometriske opplysninger med det formål å entydig identifi-sere en fysisk person definert som sensitive opp-lysninger i forordning (EU) 2016/679. Formålet med bruk av biometri er å verifisere en persons identitet, noe som er av avgjørende betydning for å sikre kontroll med personer som krysser gren-sen og anses å tilfredsstille kravet i forordningen art. 9. Etter politiregisterloven § 7 kan sensitive opplysninger bare behandles dersom det er strengt nødvendig. Ifølge politiregisterforskriften
§ 4-3 er dette kravet oppfylt dersom behandlingen er den eneste muligheten til å oppnå formålet.
Biometri vil i de fleste tilfellene være den eneste sikre måten å verifisere en persons identitet på, slik at det også etter politiregisterloven vil være adgang til å sammenligne biometri med politiets registre. Det foreslås nå ingen nye hjemler for inn-henting og lagring av biometrisk personinforma-sjon for grensekontrollformål. Sletteregelen i passloven § 6 a fjerde ledd foreslås videreført gjennom forskrift. Det fremstår som mest naturlig at regler både om sletting, retting og innsyn regu-leres i forskrift, jf. forslaget til § 25 nr. 10.
Ulovlige grensepasseringer og unndragelse av inn- og utreisekontroll motvirkes i økende grad gjennom bruk av elektroniske hjelpemidler. GSV bruker i dag moderne teknologi og sensorer for å overvåke og patruljere grensen mot Russland, og også Kystverket og Kystvakten bruker avansert teknologi i overvåkingen av territorialfarvannet og tilliggende havområder. Departementet er enig med utvalget i at ny grenselov bør gi selvstendig hjemmel for bruk av teknisk overvåkingsutstyr i den sivile grenseovervåkingen som politiet har ansvaret for. Departementet er også enig med utvalget i at hjemmelen bør gis en teknologinøy-tral utforming. Forsvarets grenseovervåking på vegne av politiet på den norsk-russiske grensen skjer parallelt med den militære overvåkingen av grensen, og også politiets overvåking av sjøgren-sen foregår ved hjelp av avanserte systemer som eies av andre og tjener flere formål. Eventuelle fremtidige behov for å fastsette rammer for bru-ken av Forsvarets teknologiske overvåknings-utstyr i grenseovervåking for sivile formål kan gis i forskrift, jf. forslaget til § 25 nr. 11. I den grad overvåking også representerer behandling av opplysninger, vil de alminnelige reglene for slik behandling komme til anvendelse. Siden Forsva-ret også behandler opplysninger på vegne av poli-tiet, bør det for denne behandlingen inngås en databehandleravtale mellom politiet og Forsvaret for å tydeliggjøre politiets rolle som behandlings-ansvarlig. Slik avtale er inngått mellom Finnmark politidistrikt og GSV.
11.4.2 Taushetsplikt og informasjonsutveksling
Departementet er enig med utvalget i at det bør gis en egen bestemmelse om taushetsplikt i gren-seloven som tydeliggjør at behandling av opplys-ninger i forbindelse med gjennomføring av opp-gaver etter grenseloven er taushetsbelagt. Som det fremgår av punkt 11.1 gjelder politilovens bestemmelser om taushetsplikt også for politiets forvaltningsvirksomhet, herunder grensekontroll, men opplysninger i forbindelse med grensekon-troll behandles også etter politiregisterloven.
Taushetspliktbestemmelsene i politiregisterloven er ikke sammenfallende med taushetsplikt-bestemmelsene i forvaltningsloven, og det er der-for også viktig å tydeliggjøre i grenseloven hvilke regler som gjelder. Dette gjelder særlig siden brudd på taushetsplikt er straffbart.
Utøvelsen av grenseovervåking etter loven krever utveksling av opplysninger mellom politi-ets, Kystverkets og Forsvarets systemer.
Informa-sjon og situaInforma-sjonsforståelse gjennom Forsvarets og Kystverkets systemer gjøres tilgjengelig for politiet som oppdragsgiver etter nærmere avtaler og behov. Politiets bruk av SafeSeaNet i forbin-delse med mottak av mannskaps- og passasjerlis-ter gir også direktetilgang til det automatiske identifikasjonssystemet AIS, som gir et nå-situa-sjonsbilde over fartøyers posisjon og fart. Forsva-rets kystovervåkingssystem COSS har et eget område som bare er tilgjengelig for politiet.
Departementet ser ikke behov for nærmere regu-lering av denne informasjonsutvekslingen i gren-seloven. Forskriftshjemmelen i lovforslaget § 25 nr. 10 gir imidlertid hjemmel for nærmere regler i forskrift også om behandling, herunder utveks-ling, av opplysninger i koordineringssenteret for Eurosur.
Norges forpliktelser etter Eurosur-forordnin-gen forutsetter at alle nasjonale myndigheter med grenseovervåkingsoppgaver samarbeider om informasjonsinnsamlig og informasjonsdeling via NKS på Kripos, jf. punkt 8.1.4. Eurosur omfatter i utgangspunktet ikke personopplysninger, det vil si overvåkingsopplysninger som kan knyttes til fysiske personer. Forordningen art. 13 åpner like-vel for at også personopplysninger kan deles, i den grad overvåkingsinformasjon inneholder opp-lysninger som etter nasjonal rett regnes som per-sonopplysninger. Dette gjelder særlig i relasjon til fartøysregistrering, som etter omstendighetene kan indikere hvem som befinner seg ombord. Til det europeiske situasjonsbildet er det kun tillatt å behandle personopplysninger i tilkytning til ski-pets IMO-nummer, som er en del av Den interna-sjonale sjøfartsorganisasjonen (IMO) sitt identifi-kasjonssystem for skip. Etter art. 13 nr. 1 skal behandling av personopplysninger til det nasjo-nale situasjonsbildet følge reglene om databeskyt-telse i nasjonal rett, EUs personverndirektiv 95/
46/EF og rammebeslutning 2008/977 JHA om personvern i tredje søyle.
Forslaget om å henvise nasjonale regulerings-behov knyttet til behandling av opplysninger som ledd i deltakelsen i Eurosur til forskrift, samsvarer med reguleringsmodellen i politiregisterloven for andre internasjonale rettsakter som Norge er bun-det av, og som faller inn under rammebeslutning 2008/977 JHA, jf. politiregisterforskriften Del 12.
Behandling av opplysninger i henhold til internasjo-nale rettsakter. Med hjemmel i grenseloven kan det blant annet gis nærmere regler om informa-sjonsinnsamling og informasjonsdeling mellom de nasjonale myndighetene som er tilknyttet NKS for Eurour, i den grad det er nødvendig for at ordnin-gen skal fungere etter hensikten.