Forslaget om innreiseregister må justeres for å ivareta grunnleggende personvernhensyn og er i overensstemmelse med personvernlovgivingen, mener Advokatforeningen.
Foto: Metamorworks, Istock
Kritisk til innreiseregister - tror sletting av personopplysninger kan bli illusorisk
Regjeringens forslag om ny midlertidig forskrift for å etablere et innreiseregistre over reisende til Norge er problematisk, tvilsomt og inneholder betydelig svakheter, mener Advokatforeningen.
Regjeringen ønsker å stable på beina et digitalt innreiseregistreringssystem for personer som reiser inn i Norge fra områder som er omfattet av karanteneplikten som er innført som følge av Covid-19-pandemien.
Alle som reiser inn i landet fra disse områdene, med noen unntak, skal påbys å registrere sitt oppholdssted i karantenetiden i det digitale registeret.
Kritiserer 24-timers frist
Det er uakseptabelt at det gis så korte høringsfrister som i denne saken, skriver Advokatforeningen i høringssvaret.
Pandemien er ikke lenger en ny situasjon, påpeker foreningen.
«Høringsinstansene må kunne forvente å få mer enn noen få timers frist til å kommentere regler av stor betydning for innreisende til landet. Forslaget reiser viktige spørsmål, både av teknisk og prinsipiell art», skriver foreningen.
Ut fra GDPR er forslaget problematisk, mener Advokatforeningen, som er kritisk til at det også skal samles inn opplysninger som den mener ikke er nødvendige av smittevernhensyn.
- Nyttig for politiet og Arbeidstilsynet
«Formålet med registreringen er å sikre etterlevelse av karanteneplikten, styrke smittevernet og bidra til bedre smitteoppsporing, og opplysningene skal derfor kunne utleveres i de tilfeller der det er nødvendig for disse formålene», heter det i høringsnotatet fra Justis- og beredskapsdepartementet.
Forslaget til forskriftsendring ble sendt på høring tirsdag denne uken med en høringsfrist på én dag. Regjeringen ønsker at registeret skal være i drift fra januar.
Ifølge Justisdepartementet vil systemet blant annet være nyttig for politiets håndhevelse av brudd på karanteneregelverket, og hjelpe Arbeidstilsynet med å føre tilsyn med virksomheter som har utenlandske arbeidstakere.
I dag finnes det ikke noe register over de som reiser inn i Norge, eller for de som skal i karantene.
- For uklart hva som skal registreres
Hvilke opplysninger skal registreres? Hvem skal ha adgang til opplysningene? Og hvor lenge skal registreringen vare? Dette er spørsmål som ikke er tilstrekkelig besvart i forslaget, påpeker Advokatforeningen i sitt høringssvar.
Tre lovutvalg involvert
Det er Advokatforeningens lovutvalg for forvaltningsrett, lovutvalget for IKT og personvern og menneskerettighetsutvalget som har arbeidet med høringsuttalelsen.
At det i høringsnotatet fra Justisdepartementet ikke er spesifisert nøyaktig hvilke opplysninger som skal registreres, er i strid med klarhetskravet til hjemmelen, mener foreningen.
«At alle innreisende for eksempel skal opplyse om arbeidsgiver, og at dette ikke bare gjelder innreisende arbeidstakere, er et eksempel på at det innhentes opplysninger som ikke er nødvendige for smitteforebygging. Det bør også gjøres en mer grundig vurdering av om behovet for opplysninger er bredere enn nødvendig for formålet, jf. GDPR art. 5.», skriver foreningen.
At de innsamlede opplysningene skal kunne brukes til flere formål, var også en utfordring med den første versjonen av Smittestopp-appen, minner foreningen om.
- Sletting blir illusorisk
Departementet mener at det ikke er nødvendig å regulere hvem som skal ha tilgang til registeret, «da dette vil være avhengig av det konkrete behovet», og foreslår at personopplysningene skal slettes etter 20 dager.
Men en slik vid adgang kan innebære at slettingen av personopplysningene blir illusorisk, mener Advokatforeningen, fordi opplysningene jo innen sletting kan være lagret hos ulike aktører. Hjemmelen er dessuten tvilsom etter GDPR, ifølge foreningen.
«Det er nødvendig å vurdere behov for tilgang og utlevering mer konkret. Det må foreligge et behandlingsgrunnlag for all utlevering. Tilgang og søk i registeret må skje for et klart definert formål.»
«Det er åpenbart at sletting av opplysninger fra innreiseregisteret har begrenset verdi dersom mange ulike aktører sitter på rapporter som er hentet ut av databasen og som ikke blir slettet. Siden det nødvendigvis vil være et relativt stort antall aktører som har tilgang til registeret, er det hensiktsmessig å fastsette regler om hvordan disse aktørene skal håndtere rapporter som er hentet ut av registeret», konkluderer Advokatforeningen i høringssvaret.
- Må loggføre all tilgang
Alle uttrekk fra registeret må loggføres, foreslår Advokatforeningen, slik at det blir kjent hvem som hentet ut opplysninger, når det skjedde, og hva som var formålet.
«Vi mener også at de registrerte bør varsles dersom deres personopplysninger er hentet ut av registeret, og at de da bør få innsyn i grunnlaget for uttrekket. Formålet med dette er selvfølgelig å avhjelpe risiko knyttet til snoking og annen misbruk», skriver foreningen.
Den mener også at risikoen for at opplysninger kommer på avveie, eller at informasjonen vil misbrukes til andre formål, «er i liten grad vurdert i forslaget, og er en betydelig svakhet».
