Journalnummer: 2023-421-0112.
Resume
Datatilsynet har truffet afgørelse i en sag, hvor Rigspolitiet ikke havde overholdt betingelserne for søgninger i henholdsvis Visuminformationssystemet og EURODAC-systemet. Rigspolitiet har, under visse betingelser, mulighed for at søge i de pågældende systemer til retshåndhævende formål på baggrund af en anmodning fra politikredsene. Det er i den sammenhæng påkrævet, at Rigspolitiet altid skal foretage en kontrol af, hvorvidt politikredsene har overholdt betingelserne, der kan berettige Rigspolitiets søgning i systemet.
I forhold til Visuminformationssystemet fandt Datatilsynet, at den nødvendige kontrol i ét tilfælde ikke var blevet foretaget og i et andet ikke var foretaget i tilstrækkelig grad.
Datatilsynet fandt endvidere, at Rigspolitiet i ét tilfælde ikke havde foretaget en forudgående søgning i Visuminformationssystemet, inden Rigspolitiet foretog en søgning i EURODAC-systemet. Rigspolitiet har også her, under visse betingelser, mulighed for at foretage en søgning til retshåndhævende formål. Det er bl.a. en betingelse for Rigspolitiets søgning i EURODAC-systemet, at der er foretaget en forudgående søgning i Visuminformationssystemet uden resultat.
Datatilsynet udtalte på den baggrund kritik af Rigspolitiets manglende kontrol af søgningskriterierne i Visuminformationssystemet og EURODAC-systemet.
1. Tilsynet
Datatilsynet vender hermed tilbage i tilsynssagen vedrørende Rigspolitiets behandling af personoplysninger i relation til Visuminformationssystemet (VIS).
Ved brev af 8. marts 2023 igangsatte Datatilsynet et tilsyn over for Rigspolitiet angående søgning i VIS til retshåndhævende formål. Datatilsynet anmodede i den forbindelse om at få oplyst antallet af de anmodninger om adgang til VIS, Rigspolitiet havde modtaget inden for de sidste fire år.
Ved brev af 30. marts 2023 oplyste Rigspolitiet, at man i den pågældende periode havde modtaget tre anmodninger om adgang til VIS.
Den 17. april 2023 foretog Datatilsynet et fysisk tilsyn hos Rigspolitiet. Tilsynet tog udgangspunkt i en gennemgang af de tre anmodninger om adgang til VIS, herunder om betingelserne for udpegende myndigheders adgang til VIS i VIS-afgørelsens artikel 4 og 5[1] var opfyldt. På mødet blev de tre anmodninger mundtligt gennemgået, og Datatilsynet fik skriftligt udleveret en liste over driftsenheder, en blanket til for brug anmodning om adgang til VIS, en vejledning og et actioncard om adgang til VIS i retshåndhævende øjemed.
Efter anmodning fra Datatilsynet fremsendte Rigspolitiet den 28. april 2023 de tre sager om adgang til VIS, som blev mundtligt gennemgået på tilsynet hos Rigspolitiet den 17. april 2023.
Ved efterfølgende gennemgang af de tre fremsendte sager sammenholdt Datatilsynet sagerne om adgang til VIS efter VIS-afgørelsen med de sager om adgang til EURODAC efter EURODAC-forordningen, som Datatilsynet fik udleveret i forbindelse med Datatilsynets tilsyn med Rigspolitiets behandling af personoplysninger i medfør af EURODAC-forordningen i 2022.
Baggrunden for sammenholdningen af sagerne var, at søgning i EURODAC til retshåndhævende formål er betinget af forudgående søgning i VIS, jf. EURODAC-forordningens artikel 20, stk. 1.
Datatilsynets sammenholdning af sagerne indikerede, at Rigspolitiet havde modtaget en fjerde anmodning om adgang til VIS fra omkring 2021, som ikke var blevet fremlagt på tilsynet den 17. april 2023. På denne baggrund anmodende Datatilsynet ved brev af 11. maj 2023 Rigspolitiet om en udtalelse omkring den manglende anmodning.
Ved brev af 15. juni 2023 fremsendte Rigspolitiet en udtalelse til Datatilsynet vedrørende anmodningen.
2. Datatilsynets afgørelse
På baggrund af tilsynsbesøget, de udleverede dokumenter og de supplerende oplysninger og udtalelser, som Datatilsynet efterfølgende har modtaget fra Rigspolitiet, finder tilsynet grundlag for sammenfattende at konkludere:
- At Rigspolitiet ikke har overholdt kravene i VIS-afgørelsens artikel 4, stk. 1, jf. artikel 5 for adgang til VIS, idet der i anmodningen fra 2019 (sag 3) ikke var foretaget en juridisk kontrol af, om adgangsbetingelserne i artikel 5 var opfyldt, inden søgningen i VIS blev foretaget.
- At Rigspolitiet ikke har overholdt kravene i VIS-afgørelsens artikel 4, stk. 1, jf. artikel 5 for adgang til VIS, idet der i anmodningen fra 2022 (sag 1) vurderes ikke at være foretaget en tilstrækkelig begrundet juridisk kontrol inden søgningen i VIS blev foretaget.
- At Rigspolitiet ikke har overholdt kravene i EURODAC-forordningens[2] artikel 20, stk. 1, idet der i forbindelse med en søgning i EURODAC i en anmodning af 3. december 2021 ikke forinden var foretaget en søgning i VIS.
Samlet set finder Datatilsynet grundlag for at udtale kritik af, at Rigspolitiet ikke har efterlevet VIS-afgørelsens og EURODAC-forordningens krav på ovennævnte tre punkter.
3. Det retlige grundlag
3.1. VIS-afgørelsen
VIS-afgørelsen regulerer udpegede myndigheders adgang til at foretage søgning i VIS i forbindelse med bekæmpelse af terrorisme og anden alvorlig kriminalitet.
Proceduren for søgning i systemet er reguleret i VIS-afgørelsens artikel 4, stk. 1. Heraf fremgår, at såfremt betingelserne for adgang til VIS er opfyldt, skal driftsenhederne sende en begrundet skriftlig eller elektronisk anmodning om adgang til VIS til det centrale adgangspunkt – hvilket i Danmark er Rigspolitiet. Ved modtagelsen skal det centrale adgangspunkt kontrollere, at de i artikel 5 nævnte betingelser for adgang til VIS er opfyldt.
Betingelserne for adgang til at søge i VIS er reguleret i VIS-afgørelsens artikel 5, stk. 1. Det følger af bestemmelsen, at de udpegede myndigheders adgang til at søge i VIS finder sted inden for rammerne af deres beføjelser, hvis følgende betingelser er opfyldt:
- Adgangen til søgning skal være nødvendig for forebyggelse, afsløring eller efterforskning af terrorhandlinger eller andre alvorlige strafbare handlinger.
- Adgangen til søgning skal være nødvendig i et specifikt tilfælde.
- Der er rimelig grund til at mene, at søgning i VIS-dataene vil bidrage væsentligt til forebyggelse, afsløring eller efterforskning af en af de pågældende strafbare handlinger.
3.2. EURODAC-forordningen
Betingelserne for adgang til at søge i EURODAC er reguleret i EURODAC-forordningens artikel 20, stk. 1. Det følger bl.a. af bestemmelsen, at det er en betingelse for søgning i EURODAC, at der er sket forudgående søgning i VIS.
Hasteproceduren for søgning i EURODAC er reguleret i EURODAC-forordningens artikel 19, stk. 3. Det fremgår af bestemmelsen, at der i ekstraordinære situationer kan foretages en øjeblikkelig søgning i EURODAC, hvor der først efterfølgende foretages en kontrol af, om adgangsbetingelserne i artikel 20, stk. 1 er opfyldt.
4. Datatilsynets begrundelse og afgørelse
4.1. Anmodning om søgning i VIS fra 2019 (sag 3)
På baggrund af det sete og oplyste på tilsynsbesøget den 17. april 2023 samt det fremsendte materiale af 28. april 2023 kan Datatilsynet konstatere, at Rigspolitiet på baggrund af en anmodning fra T politi 2019 foretog en søgning i VIS, men at Rigspolitiet ikke forinden foretog en juridisk kontrol af, hvorvidt adgangsbetingelserne herfor var opfyldt, jf. VIS-afgørelsens artikel 4, stk. 1, jf. artikel 5.
På tilsynsbesøget den 17. april 2023 oplyste Rigspolitiet, at ambassaden i A også foretog en søgning i VIS på baggrund af anmodningen fra T politi, hvilket også kan udledes af Rigspolitiets fremsendte materiale til Datatilsynet. Datatilsynet skal i den forbindelse bemærke, at det alene er det centrale adgangspunkt (Rigspolitiet), der må foretage søgning i VIS på baggrund af en begrundet anmodning herom, jf. artikel 4, stk. 1.
5.2. Anmodning om søgning i VIS fra 2022 (sag 1)
For så vidt angår anmodningen fra T politi 2022 kan Datatilsynet konstatere, at Rigspolitiet ikke har foretaget en tilstrækkelig begrundet kontrol af, om adgangsbetingelserne for søgning i VIS var opfyldt. Det følger af Rigspolitiets mail af 11. april 2022, at:
”Med udgangspunkt i betingelserne fastlagt i VIS-rådsafgørelsens artikel 5, stk. 1, er der i nærværende vurdering lagt vægt på følgende:
(i) adgangen til søgningen er nødvendig med henblik på retshåndhævelse
(ii) adgangen til søgning er nødvendig i en konkret sag
(iii) der er rimelig grund til at antage, at søgning i VIS-datene vil bidrage væsentligt til forebyggelse, efterforskning mv. af den pågældende strafbare handling (forfalskning), idet det i Ts anmodning fremgår, at oplysningerne skal anvendes ifm. retsforfølgning, herunder som bevis i straffesag i T.”
Datatilsynet finder, at særligt de to første betingelser ikke er tilstrækkeligt begrundede. Dette baseres på, at der ikke henvises til omstændighederne i den konkrete sag, idet der alene er tale om en gengivelse af betingelsernes indhold. Det er Datatilsynets vurdering, at Rigspolitiet skal foretage en konkret begrundet og dokumenteret kontrol for at kunne påvise, at reglerne er overholdt, jf. VIS-afgørelsens artikel 4 jf. artikel 5. Dette ses ikke at være tilfældet i ovenstående begrundelse.
Derudover kan det af mailkorrespondancen til sagsforløbet udledes, at anmodningen først blev sendt til Rigspolitiet, derefter til Udenrigsministeriet, videre til Udlændinge- og integrationsministeriet og endelig tilbage til Rigspolitiet. Datatilsynet henviser i denne anledning til Rigspolitiets egne interne procedurer om håndtering af anmodninger om adgang til VIS, jf. pkt. 5 nedenfor, og opfordrer til, at disse følges fremadrettet.
4.3. Anmodning om søgning i EURODAC
Datatilsynet har sammenholdt de tre anmodninger om adgang til VIS efter VIS-afgørelsen med de sager om adgang til EURODAC efter EURODAC-forordningen, som Datatilsynet fik udleveret og gennemgik i forbindelse med Datatilsynets tilsyn med Rigspolitiets behandling af personoplysninger i medfør af EURODAC-forordningen til retshåndhævende formål i 2022 (Datatilsynets j.nr. 2022-421-0103). Dette skyldes, at det er en betingelse for søgning i EURODAC, at der er foretaget en forudgående søgning i VIS uden, at det har ført til identifikation af den registrerede, jf. EURODAC-forordningens artikel 20, stk. 1.
Datatilsynet blev ved sammenholdningen af sagerne opmærksom på en anmodning om adgang til oplysninger i EURODAC fra K politi af 3. december 2021, hvor det af sagens juridiske kontrol fremgår, at der var foretaget forudgående søgning i VIS.
Datatilsynet sendte en høring til Rigspolitiet den 11. maj 2023 og anmodede om at få denne forudgående anmodning om søgning i VIS tilsendt.
Den 15. juni 2023 modtog Datatilsynet en udtalelse fra Rigspolitiet, hvoraf det fremgår, at der ikke var foretaget en søgning i VIS i forbindelse med anmodningen om søgning i EURODAC, da der ikke var et behov herfor. Det kan på den baggrund konstateres, at Rigspolitiet i forbindelse med behandling af anmodningen om søgning i EURODAC ikke har overholdt kravet om forudgående søgning i VIS, jf. EURODAC-forordningens artikel 20, stk. 1.
[1] Rådets afgørelse 2008/633/RIA af 23. juni 2008 om adgang til søgning i visuminformationssystemet (VIS) for de udpegede myndigheder i medlemsstaterne og for Europol med henblik på forebyggelse, afsløring og efterforskning af terrorhandlinger og andre alvorlige strafbare handlinger
[2] Europa-Parlamentets og Rådets forordning (EU) Nr. 603/2013 af 26. juni 2013 om oprettelse af »Eurodac« til sammenligning af fingeraftryk med henblik på en effektiv anvendelse af forordning (EU) nr. 604/2013 om fastsættelse af kriterier og procedurer til afgørelse af, hvilken medlemsstat der er ansvarlig for behandlingen af en ansøgning om international beskyttelse, der er indgivet i en af medlemsstaterne af en tredjelandsstatsborger eller en statsløs og om medlemsstaternes retshåndhævende myndigheders og Europols adgang til at indgive anmodning om sammenligning med Eurodacoplysninger med henblik på retshåndhævelse og om ændring af forordning (EU) nr. 1077/2011 om oprettelse af et europæisk agentur for den operationelle forvaltning af store it-systemer inden for området med frihed, sikkerhed og retfærdighed (omarbejdning).