Vi viser til høringsbrev 27. november 2017 fra Justis- og beredskapsdepartementet om endringer i utlendingsloven (utl) og utlendingsforskriften (utf) som følge av gjennomføring av EUs personvernforordning (heretter: forordningen) i norsk rett.
Utlendingsnemnda (UNE) har følgende innspill til endringsforslagene:
Høringsnotatet punkt 5: Formålet med behandlingen, ny § 17-7 a
Departementet foreslår å tydeliggjøre formålet med utlendingsmyndighetenes behandling av personopplysninger i større grad enn i dag. I ny utf § 17-7 a foreslås det derfor å ta inn en ikke-uttømmende liste over sentrale formål behandlingen kan knyttes til.
Forskriften bør også definere utlendingsmyndighetens behandling av personopplysninger i forbindelse med søksmål mot staten om lovmessigheten av vedtak, jf. utl § 79. Angivelse av dette formålet vil tydeliggjøre rekkevidden av utlendingsmyndighetenes behandling av personopplysninger overfor den registrerte.
Departementet foreslår videre i ny utf § 17-7 a annet ledd at det skal legges til rette for lovlig viderebehandling av personopplysninger til andre formål der det er behov for det. Slik behandling avgrenses til tilfeller hvor det er en nær sammenheng mellom saker, ved at sakene er knyttet spesifikt til hverandre.
UNE er enig med departementet i at en rekke hensyn (som nevnt i høringsnotatet side 15) taler for at utlendingsmyndighetene skal kunne benytte allerede innsamlede opplysninger, og at dette er viktige mål av generell samfunnsinteresse, jf. forordningen artikkel 23. UNE har tidligere spilt inn til Forvaltningslovutvalget et behov for en tydeliggjøring av adgangen til å bruke opplysninger på tvers ved behandling av saker.
Høringsnotatet punkt 6: Behandlingsansvarlig, ny § 17-7 b
Forskriftsregulering av de ulike organers behandlingsansvar
Departementet foreslår i første ledd å tydeliggjøre at de ulike organene i utlendingsforvaltningen er behandlingsansvarlige for behandling av personopplysninger knyttet til de oppgaver de er pålagt. UNE er enig i dette forslaget. En forskriftsregulering tydeliggjør ansvaret til de enkelte aktørene og deres eierskap knyttet til behandlingen av disse opplysningene.
Sammenhengen mellom første ledd og annet ledd
UNE tolker sammenhengen mellom første og annet ledd dit hen at UNE kun vil ha et behandlingsansvar for personopplysninger utenfor de sentrale registre. Det vil i praksis si at UNE har behandlingsansvaret ved saksavviklingen, men at Utlendingsdirektoratet (UDI) vil overta behandlingsansvaret så fort dataene havner i Utlendingsdatabasen (UDB). UNE har vanskelig for å se hvordan dette vil bli i praksis med tanke på at UNE i kraft av første ledd vil ha behandlingsansvaret for saken og de opplysninger som ligger i sentrale registre (og vil være bundet av forpliktelsene som er oppstilt i forordningen), samtidig som etaten etter annet ledd ikke vil ha behandlingsansvaret for opplysninger knyttet til samme klager i UDB. UNE ber om en tydeliggjøring på dette punkt.
Forkriftsregulering av behandlingsansvar for sentrale registre
UNE mener at en forskriftsregulering som foreslått av departementet potensielt har betydelig innvirkning på etaten. UNE har derfor flere synspunkter på departementets forslag til ny § 17-7 b annet ledd, som kan oppsummeres slik:
- UNE foreslår at departementet ikke regulerer behandlingsansvaret for sentrale registre i forskrift. De respektive etater bør heller kunne regulere dette ved avtale seg imellom.
- Dersom departementet ønsker å regulere behandlingsansvaret for sentrale registre, foreslår UNE at departementet
- presiserer om behandlingsansvaret gjelder opplysninger i sentrale registre, eller de sentrale registre i seg selv (systemeierskap)
- definerer sentrale registre, alternativt lister opp systemene i vedlegg til forskriften
- regulerer tilganger for å sikre forutsigbarhet
Systemeierskap eller behandlingsansvar
Departementet foreslår at UDI skal ha «behandlingsansvaret for sentrale registre over personer». I høringsnotatet er blant annet UDB, Eurodac, og VIS gitt som eksempler på sentrale og nasjonale registre. Det er uklart for UNE om departementet ønsker å regulere behandlingsansvaret for de sentrale registrene i seg selv, eller om det er opplysningene i de sentrale registre som ønskes regulert.
I førstnevnte tilfelle ville det være snakk om såkalt systemeierskap. UDI er i dag systemeier for mange registre, herunder for UDB. UNE mener at et systemeierskap generelt ikke bør reguleres i forskrifts form, men utbroderer ikke dette noe nærmere da vi uansett tolker bestemmelsen til å gjelde opplysninger i de sentrale registre, og tilbakemeldingene videre er gitt med dette som utgangspunkt. Dersom dette er riktig tolkning av ordlyden, foreslår UNE at det i bestemmelsen presiseres at det er snakk om behandlingsansvar for personopplysninger i de sentrale registre.
Gjeldende avtale mellom UDI og UNE om delt behandlingsansvar
Departementets forslag om å regulere UDI som behandlingsansvarlig for sentrale registre legger andre premisser til grunn enn det gjeldende avtale mellom UDI og UNE gjør, og som gjelder UDB og tilhørende saksbehandlingssystemer. UDI og UNE inngikk i desember 2015 en avtale om delt behandlingsansvar for disse systemene. Fra avtalens punkt 1 og 2 hitsettes:
1 Avtalens parter og formål
Partene i denne avtalen er Utlendingsdirektoratet (UDI) og Utlendingsnemnda (UNE). UDI fatter vedtak i saker etter utlendingsloven (utl.) og statsborgerloven (sbl.). UDI fatter normalt vedtak i første instans, men kan også opptre som andreinstans, jf. utl. § 76 første ledd første punktum. UNE er klageorgan for UDI ide saker hvor UDI opptrer som førsteinstans, jf. utl. § 76 første ledd annet punktum.
UDI og UNE behandler personopplysninger som ledd i saksbehandlingen etter utl og sbl. Alle slike personopplysninger registreres i Utlendingsdatabasen (UDB) samt tilhørende saksbehandlingssystemer. Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes anses som behandlingsansvarlig etter personopplysningsloven, jf. § 2 nr. 4.
UDI og UNE behandler personopplysninger i UDB på samme rettslige grunnlag, for de samme lovfestede formål med utgangspunkt i et felles saksbehandlingssystem. Registrering av nye personopplysninger og endring av personopplysninger i UDB vil skje på alle stadier av saksbehandlingen. Partene anses derfor for å ha delt behandlingsansvar for personopplysninger som registreres i UDB og tilhørende saksbehandlingssystemer.
Formålet med denne avtalen er å regulere partenes rettigheter og forpliktelser knyttet til delt behandlingsansvar for UDB. Avtalen skal legge til rette for forsvarlig og effektiv saksbehandling. Avtalen skal også sikre at partene oppfyller sine forpliktelser som behandlingsansvarlige og ivaretar de registrertes rettigheter etter lov om personopplysninger av 14. april 2000 nr. 31 (pol.) og personopplysningsforskriften av 15. desember 2000 nr. 1265 (pof.). Partenes skal i sin bruk av opplysningene fra UDB, herunder i utformingen av Styringsdokumenter og retningslinjer for informasjonssikkerhet, ivareta og overholde kravene i denne avtalen.
Ved avtalens inngåelse er det UDI som eier, drifter og vedlikeholder UDB, og leverer dette som en tjeneste til UNE. UDIs ansvar som systemeier og partenes rettigheter og forpliktelser knyttet til denne tjenesten er regulert i en egen avtale.
2 Avtalens omfang
Avtalen gjelder for all behandling av personopplysninger i UDB til de felles behandlingsformål som fremgår av Bilag 1 - Oversikt over formål.
I systemene som avtalen gjelder for, ligger en rekke UNE-produserte dokumenter og saksinformasjon, herunder alle UNEs vedtak. Vi mener at gjeldende ordning med delt behandlingsansvar vil være det beste også fremover. Ivaretakelse av personvern og informasjonssikkerhet er selve grunnpilaren i avtalen, og den ble inngått etter en utredning fra advokatfirmaet Simonsen Vogt Wiig. UDI og UNE var på det tidspunktet enig om at delt behandlingsansvar var det klart mest hensiktsmessige. Alternativet til inngåelse av avtalen om delt behandlingsansvar ville være at etatene måtte inngå en databehandleravtale «begge veier», hvor UNE var databehandler for UDIs data og vice versa. Det ville bli svært krevende å identifisere hvilke data som er eid av hvilken etat. UDIs data er UNEs grunndata og dette kan også være vice versa. Systemene som begge etater bruker er bygget på en praktisk tilnærming der data kan deles på grunn av saksgangen mellom UDI og UNE. UNE ivaretar dog sin uavhengighet via interne retningslinjer og administrative rutiner.
Andre etater i utlendingsforvaltningen har lagt en annen systemmessig arkitektur til grunn, og de har utviklet egne saksbehandlingssystemer med tilhørende databaser. Det er mulig det kan være hensiktsmessig for UDI å være behandlingsansvarlig for andre etaters data i utlendingsforvaltningen, men gitt de tette båndene på IT-løsningene mellom UDI og UNE, mener vi at dette ikke er en hensiktsmessig løsning for disse etatene.
Personvernforordningen åpner dessuten for felles behandlingsansvar der «to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen». Departementets forslag til ny § 17-7 a underbygger at UDI og UNE har samme formål med behandlingen av personopplysninger, og begge etatene bruker UDB og DUF som systemer. UNE kan ikke se at det vil være en hensiktsmessig løsning at departementet bruker den nasjonale adgangen i forordningen artikkel 26 til å legge behandlingsansvaret til UDI alene.
Konsekvenser av å definere behandlingsansvaret en bloc
Ordlyden i annet ledd betyr at UNE blir UDIs databehandler i henhold til forordningen artikkel 28, og blir å anse som å behandle data «på vegne av» UDI, jf. forordningen artikkel 4 nr. 8. Rent prinsipielt er det vanskelig for UNE å forstå argumentasjonen bak at UNE skal være databehandler for data som etaten de facto selv har lagt inn og har bestemt formålet for. Det er naturlig for UNE å ville ha et delt behandlingsansvar for et system når systemet inneholder mye og sentrale data fra og for etaten. Det er også viktig for UNE å ha styringsrett over egne data for å ivareta eget styringssystem for informasjonssikkerhet, for å kunne utarbeide interne rutiner for ansvar og tilgang, samt for å kunne utarbeide statistikk, rapporter og annen styringsinformasjon som etaten er helt avhengig av.
Gjeldende avtale legger til rette for at UDI og UNE har et selvstendig ansvar for å oppfylle de plikter som påhviler den respektive etat som behandlingsansvarlig, men at etatene sammen og periodisk skal gi innsyn i hverandres styringssystem i et samarbeidsforum. UNEs styringssystem knyttet til informasjonssikkerhet bygger derfor på det premisset at UDI og UNE sammen er behandlingsansvarlige. En omrokkering av denne tilnærmingen vil bety at UDI som behandlingsansvarlig får en ensidig rett til å pålegge UNE å gjennomføre tiltak for å sikre informasjonssikkerhet og personvern. Vi ser noen betenkeligheter ved dette, idet UNE vil bli underlagt UDIs vurderinger om risiko knyttet til egne data. I ytterste konsekvens vil det kunne medføre at UNE plikter å gjennomføre tiltak på bekostning av andre arbeidsoppgaver etaten skal utføre, herunder behandle saker. UNE stiller spørsmål ved at UDI skal ha den type kontrollfunksjon for informasjonssikkerhetsarbeidet som påvirker UNE, i stedet for at samarbeidet til etatene bygger på den gjensidighet, tillit og åpenhet som gjeldende avtale legger opp til.
Det vil være mer hensiktsmessig at de respektive etater i utlendingsforvaltningen m.m. regulerer behandlingsansvaret for systemer gjennom egne avtaler. Dette gir etatene et handlingsrom til å definere og vurdere om det er hensiktsmessig å inngå en databehandleravtale eller avtale om delt behandlingsansvar, avhengig av hva som er og blir innholdet i det respektive system. Innholdet i systemene må være retningsgivende for hvem som skal anses som henholdsvis databehandler og behandleransvarlig, slik at man primært følger forordningens ordlyd om at den som bestemmer formålet og midlene med behandlingen av personopplysningene er den som anses som behandlingsansvarlig. Dette gir etatene avtalefrihet hva gjelder de nærmere beslutninger, rettigheter og plikter.
Med tanke på det digitale utviklingsløp som utlendingsforvaltningen er inne i, er det også viktig med en dynamisk tekning rundt behandlingsansvaret og avtaler som inngås. Det er ikke gitt at de tekniske systemene skal bestå slik de er i dag, og avhengig av behov som oppstår og innholdet i et system er det mulig at avtaler må reforhandles eller endres. Å legge behandlingsansvaret for opplysninger i sentrale registre til én etat vil kunne medføre at etatene heller utvikler systemer lokalt for å unngå eierskapsdiskusjoner og tilhørende problemer. Alle initiativ til utvikling i utlendingsforvaltningen, herunder satsingsforslagene levert av UDI og UNE i oktober 2017, viser betydningen av samarbeid i utlendingskjeden, men dette fordrer at man ser på etater som sidestilte parter når det gjelder datagrunnlag.
Sentrale registre
Dersom departementet ønsker å gi behandlingsansvaret til UDI, ser UNE noen betenkeligheter med å bruke ordlyden «sentrale registre» uten at dette blir nærmere definert. For UNE vil et register potensielt kunne være sentralt i kraft av at det aksesseres av andre på utlendingsfeltet. UNE har forståelse for at man i selve ordlyden i bestemmelsen ikke vil navngi registre fordi dette vil være dynamisk og endres over tid, men det er viktig at behandlingsansvaret må kunne forbli hos en etat som utvikler et eget system – selv om dette aksesseres av flere og er sentralt i så måte. Dersom ordlyden skal bestå, foreslår vi at departementet også beskriver hvilke kriterier som ligger til grunn for at et system skal anses som «sentralt», og hva som anses som et «register». Alternativt foreslår vi at det i et vedlegg til forskriften navngis hvilke registre UDI skal ha behandlingsansvaret for, og som kan oppdateres ved endringer. Det er naturlig for UNE å ville være databehandler for eksempel for datavarehus som etaten selv utvikler, og at dette ikke favner inn under UDIs behandlingsansvar på bakgrunn av ordlyden som foreslått.
Tilganger
Departementet ønsker ikke å regulere tilganger i forskrift. Vi mener imidlertid at regulering av behandlingsansvaret er såpass viktig, og kan ha så vidt store konsekvenser, at det er nødvendig at også tilganger reguleres dersom behandlingsansvaret blir regulert i forskrift. Dette vil sikre nødvendig forutsigbarhet for UNEs virksomhetsstyring, slik at vi ikke trenger å bruke tid og ressurser på tilgangsforespørsler hos behandlingsansvarlig.
Med hilsen
Ingunn-Sofie Aursnes
direktør
Øyvind Havnevik
fung. avdelingsdirektør