Indlægget er skrevet af Adam Andreev. Adam Andreev er kandidatstuderende på jurastudiet på Københavns Universitet og har i forbindelse med kursusfaget Persondataret udarbejdet en juridisk analyse af PET, som bringes som gæsteblog på Rule of Law.
I en tid hvor terrorangreb er blevet en alvorlig trussel i den vestlige verden, er borgernes retssikkerhed i forhold til efterretningstjenesternes tiltagende beføjelser til at overvåge og få adgang til følsomme personoplysninger blevet formindsket. Det er en velkendt jargon, at den, der ikke har noget at skjule, intet problem ser i disse vide beføjelser.
Formålet med persondataloven (PDL) er via tildeling af visse rettigheder at styrke den enkelte borgers retssikkerhed over for bl.a. offentlige myndigheder, som behandler personoplysninger. Disse informationer, der i vidt omfang omhandler følsomme personoplysninger om f.eks. religiøse og ideologiske forhold, er som altovervejende hovedregel omfattet af PDL. Efterretningstjenesterne er i høj grad afhængige af at kunne indsamle oplysninger af netop sådan karakter.
Lovgiver har dog valgt at undtage Politiets Efterretningstjeneste (PET) og Forsvarets Efterretningstjeneste (FE) fra PDL, således at loven som udgangspunkt ikke finder anvendelse på databehandlinger, foretaget af PET og FE, jfr. PDL § 2, stk. 11. I lyset af privatlivets fred og dermed også databeskyttelsen som en grundsten i et demokratisk samfund, forekommer undtagelsesbestemmelsen – isoleret set – temmelig vidtrækkende. Det fremgår dog af lov nr. 1600 af 19/12/2014 om politiets efterretningstjeneste (PET-loven), at visse bestemmelser fra PDL fortsat skal finde anvendelse på efterretningenstjenestens arbejde.
I dette blogindlæg vil jeg analysere de persondataretlige regler, der forsat skal finde anvendelse for PETs arbejde, for at vurdere, hvorvidt der er tale om reel persondataretlig beskyttelse af borgerne eller, om reglerne i højere grad har karakter af programerklæringer. Endvidere vil jeg komme ind på den massive kritik, som Tilsynet med Efterretningstjenesten (TET) har rettet mod PET samt den ændring af PET-loven, der trådte i kraft 1. marts 2017. Den kommende persondataforordning kommenteres ligeledes i analysen, hvor spørgsmålet er, om forordningen vil medføre yderligere beføjelser til PET, eller om status quo opretholdes.
Persondataloven
Persondatalovens anvendelsesområde
Persondatalovens anvendelsesområde gælder for al elektronisk behandling af oplysninger om personer og ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jfr. PDL § 1, stk. 1. Undtagelser til lovens anvendelsesområde er bl.a. behandlinger, der udføres af PET og FE, jfr. § 2, stk. 11.
Grundlæggende principper i PDL i hovedtræk
I lovens § 5 er der fastlagt en række generelle sideordnede principper:
- Princippet om god databehandlingsskik, jfr. PDL § 5, stk. 1, er en retlig standard, der er overladt til Datatilsynets praksis at udfylde, hvilken domstolene vil tage udgangspunkt i ved en evt. retssag.
Det fremgår af lovbemærkningerne, at behandling skal være rimelig og lovlig, og at de dataansvarlige, dvs. PET i nærværende sammenhæng, skal tilstræbe gennemsigtighed og forudsigelighed ved behandling af personoplysninger. En rimelig behandling indebærer, at de registrerede personer kan få kendskab til behandlingens eksistens og, når der indsamles oplysninger, opnå nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen. - Princippet om formålsbestemthed, jfr. PDL § 5, stk.2, angiver, at indsamling af personoplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være i strid med disse formål. De formål, oplysningerne oprindeligt blev indsamlet til, skal respekteres. Saglige formål er bl.a., om indsamlingen af oplysninger kongruerer med de opgaver, der normalt ligger inden for den dataansvarliges ansvarsområde.
- Proportionalitetsprincippet, jfr. PDL § 5, stk. 3, som i nærværende sammenhæng bevirker, at indsamling af oplysninger skal være relevante, tilstrækkelige og i overensstemmelse med formålet med indsamlingen. Det er angivet, at der derfor er tale om et dataminimeringsprincip, hvorved man undgår dataophobning, som ikke sjældent forekommer i den offentlige sektor.
- Princippet om god datakvalitet, jfr. PDL § 5, stk. 4, betyder, at oplysninger skal være korrekte og ikke må være vildledende, samt at den dataansvarlige myndighed skal foretage den fornødne korrektion, hvis kvaliteten er utilstrækkelig.
- Tidsbegrænsningsprincippet, jfr. PDL § 5, stk. 5, indebærer, at personoplysninger ikke må opbevares i længere tid, end formålet tilsiger. Princippet læner sig dermed op af det førnævnte om dataophobning, og princippet indikerer dermed en ret for den registrerede til at blive glemt. Loven fastsætter ikke en nøjagtig opbevaringsperiode, som må vurderes konkret ud fra bl.a. tilsynets praksis på området.
Efterretningstjenesten
Betænkning nr. 1529/2012 om PET og FE
Betænkning nr. 1529/2012 om PET og FE (bet. 1529/2012) affødte bl.a. PET-loven og Tilsynet med Efterretningstjenesterne (TET). Ydermere fremgår det heraf hvilke hensyn, der skal vægtes i loven. Ønsket var at tildele rettighederne fra PDL, men på en sådan måde at efterretningstjenestens virksomhed ikke kompromitteres. Dette ses tydeligt ved den indirekte indsigtsret, jfr. PET-lovens § 13, hvor man kan få TET til at undersøge, om PET uberettiget behandler oplysninger om en, men i oplysningen må man ikke kunne udlede, hvorvidt PET behandler oplysninger om en eller ej, jfr. Bet. 1528/2012, s. 369.
PET-loven
PETs arbejdsopgaver er beskrevet i loven, samt de bestemmelser i PDL, som omfatter PETs virksomhed, jfr. PET-loven §§ 7-8. De relevante bestemmelser er PDL §§ 3, 5, 14, 41, 42 og § 11, stk. 1, hvad angår fysiske personer.
Intern behandling af oplysninger
Det fremgår af bet. 1529/2012, s. 527, at PET har til opgave at forebygge, efterforske og modvirke ekstremisme, dvs. forbrydelser hvor der anvendes ekstreme og udemokratiske metoder til at nå politiske, ideologiske eller religiøse mål. PET indsamler oplysninger om fysiske personer om bl.a. deres etniske baggrund samt politiske, religiøse, filosofiske overbevisning. Disse er alle følsomme personoplysninger, jfr. PDL § 7. Behandling af personoplysninger, jfr. PDL §§ 6-8, hvor behandling kan ske, hvis behandlingen ”er nødvendig”, er udeladt og i stedet er indsat ordlyden, hvor behandlingen ”må antages”, jfr. PET-loven § 7, stk. 2, nr. 2, at have betydning for PETs opgaver. En noget lavere tærskel end nødvendighedskriteriet fra PDL, der giver videre beføjelser til PET end øvrige offentlige myndigheder.
Sammenfatning:
PDLs bestemmelser er omfattet af PETs virksomhed, men med betydelige modifikationer. Det er således ganske få bestemmelser fra PDL, som finder anvendelse på PET: nødvendighedskriteriet fra PDL § 7, stk. 2, nr. 2, om følsomme oplysninger er udeladt. Hensynet til fortroligheden hos PET er et mere tungtvejende hensyn end borgerens retstilling, men som man har prøvet at indføre via den indirekte indsigtsret, jfr. PET-loven § 13.
Betragtninger
De generelle principper og behandlingssikkerhedsreglerne
De generelle principper, jfr. PDL § 5, gælder uanset formål, involverede aktører, behandlingsformer og kategorier af personoplysninger, når behandling af oplysninger efter PDL finder sted. Dette indebærer, at PET er omfattet af princippet om saglig forvaltning. Et princip, PET allerede forinden var undergivet på grundlag af almindelige uskrevne forvaltningsretlige retsgrundsætninger, men som nu er lovfæstet. Dette er der intet ejendommeligt i.
Værdien af princippet om god databehandlingsskik hos PET, jf. PDL § 5, stk. 1, kan i praksis næppe siges at være omfangsrig, da hensynet om at undgå kompromittering er det bærende bag PET-loven, hvorfor et princip, der fremmer gennemsigtighed og forudsigelighed, virker intetsigende.
Princippet om god datakvalitet, jf. PDL § 5, stk. 4, medfører, at oplysninger ikke må være vildledende og ukorrekte. Hvordan princippet kan overholdes hos PET, når der sker indsamling, som både omfatter mistænkte og ikke-mistænkte, der aldrig kommer under strafforfølgning, er svær at få øje på. Opbevaring af sådanne oplysninger er problematiske og næppe overensstemmende med princippet om god datakvalitet, der har stor betydning for integritetsbeskyttelsen.
Det fremgår af hensynet til at undgå dataophobning og tidsbegrænsningsprincippet, jfr. PET-loven § 9, stk. 1, at PET skal slette oplysninger om fysiske og juridiske personer, når der ikke er tilvejebragt nye oplysninger inden for de seneste 15 år. Det må antages at være overordentligt ressourcekrævende for en efterretningstjeneste, som indsamler et stort antal oplysninger om personer, der både er mistænkt, ikke-mistænkt og disses omgangskreds.
Proportionalitetsprincippet, jf. PDL § 5, stk. 3, bliver en vanskelig størrelse at vurdere, når PET ligeledes indsamler følsomme oplysninger om personer, der på direkte eller indirekte måde – og efter PETs egen vurdering – er kommet i PETs søgelys af forskellige årsager. Set fra PETs synspunkt vil al indsamling af persondata – uanset om personen er mistænkt eller ikke-mistænkt – være proportionelt og relevant.
Principperne er lovfæstet som gældende for PET, men ligner mere programerklæringer i nærværende sammenhæng. Det er svært at vurdere, om de har reel virke i en efterretningstjeneste, der lever i det fortrolige, hvor det bærende hensyn er, at dets mange varige opgaver ikke kompromitteres. Principperne overholdes ikke til fulde, hvilket blev understreget af TETs redegørelse for året 2015, jf. mere herom i følgende afsnit.
Sikkerhedsreglerne, jfr. PDL §§ 41-42 har næppe medført ændringer for PET, der i forvejen må tænkes at have landets bedste sikkerhedsforanstaltninger.
TET
Den indirekte indsigtsret skaber næppe en afmystificering, eftersom man ikke får kendskab til, om PET har eller har haft oplysninger om en.
Det fremgår af TETs redegørelse for 2015, som blev udgivet i maj 2016, at PET afviser at slette personoplysninger, som tjenesten ikke anser for nødvendige for varetagelsen af tjenestens opgaver, når oplysningerne indgår i dokumenter, hvis øvrige indhold fortsat er nødvendige for tjenesten. PET har over for TET givet udtryk for, at de ikke har intention om at ændre denne praksis. TET har herefter underrettet Justistsministeriet herom, hvorefter intet er sket, hvilket underminerer TETs rolle. TET er et tilsyn med begrænset kompetence og uden reelle reaktionsmuligheder (Jacob Mchangama, ”Analyse: ”tilsyn med Efterretningstjenesterne- Styrkelse af kontrollen med PET” 2013).
Lovændring
Lovændring til PET-loven undergik 2. og 3. behandling ultimo 2016. Lovændringen indebærer vide beføjelser til PET og udgør bl.a. følgende i oversigtsform:
- PET ikke har nogen pligt til løbende gennemgang af de registrerede oplysninger, og skal kun slette sager og dokumenter, som ikke længere er nødvendige, hvis tjenesten tilfældigt bliver opmærksom på dette.
- PET skal ikke slette oplysninger, der ikke længere er nødvendige for tjenestens opgavevaretagelse, hvis de er opført i andre dokumenter. Dvs. den kritik TET har påpeget i sin redegørelse værende ulovlig praksis, ønsker man at lovliggøre, hvilket kan siges at være retssikkerhedsmæssigt betænkeligt. Man indskrænker derfor TETs hidtidige opgaver. Som det fremgår af høringssvaret fra IT-Politisk forening, som mener, at det er undergravende for arbejdet for TET som uafhængig, når man omgår kritikken fra TET ved en lovændring. TET har jo netop til funktion at sikre borgernes tillid til den tjeneste, der arbejder i det fortrolige og samtidig sørger for den nationale sikkerhed.
Den nye persondataforordning
Det fremgår af den nye persondataforordning artikel 2, litra d, at forordningen ikke finder anvendelse på behandlinger af personoplysninger foretaget af PET, hvorfor der næppe sker en indvirkning på PETs arbejde med den nye forordning. Eftersom PET-loven henviser til PDL (som erstattes af forordningen), må der dog ske en revidering af PET-loven. Om disse ændringer blot bliver formalitetsændringer i form af henvisning til forordningen, eller om der tillige sker materielle ændringer, er på nuværende tidspunkt uvist. I tilfælde af materielle ændringer, er det næppe utænkeligt, at PETs beføjelser udvides og dermed ikke indskrænkes, hvilket også understøttes af den nye lovændring af PET-loven, der trådte i kraft i marts 2017.
Konklusion
Med inddragelse af bestemmelser fra PDL i PET-loven står det klart, at undtagelsen, jfr. PDL § 2, stk. 11, ikke er absolut. Det fremgår både af betænkningen og direkte af ordlyden af PET-loven, at visse, men få, bestemmelser finder anvendelse på PETs virksomhed. Princippet om saglig forvaltning, de øvrige generelle principper, jfr. PDL § 5, og behandlingssikkerhedsreglerne, jfr. PDL §§ 41-42, har næppe medført store ændringer hos PET, hvis overhovedet nogen. Når man ser på den massive kritik, TET har fremført og PETs og Justitsministeriets passivitet hertil, ligner medtagelsen af de generelle principper netop mere programerklæringer end en styrkelse af gennemsigtighed og databeskyttelse ved efterretningstjenestens arbejde i et demokratisk samfund. Lovændringen understreger den tendens, at retssikkerhed på efterretningstjenestens område er til salg, og at man vil gå langt for at fastholde det frie spillerum for PET og dermed forsætte sit arbejde i det fortrolige rum.