Retsudvalget 2018-19 (1. samling)
L 107
Offentligt
1986805_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
11. december 2018
Internationalt Politikon-
tor
Anna Seneberg Winkel
2018-731-0027
942388
Hermed sendes besvarelse af spørgsmål nr. 7 vedrørende forslag til lov om
indsamling, anvendelse og opbevaring af oplysninger om flypassagerer
(PNR-loven) (L107), som Folketingets Retsudvalg har stillet til justitsmini-
steren den 4. december 2018.
Søren Pape Poulsen
/
Morten Duus
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
L 107 - 2018-19 (1. samling) - Endeligt svar på spørgsmål 10: Spm., om PNR-enheden vil foretage en manuel gennemgang af samtlige PNR-oplysninger, der indeholder feltet generelle bemærkninger, for at slette eventuelle følsomme personoplysninger, eksempelvis ønsker om særlige måltider eller behov for særlig assistance, til justitsministeren
Spørgsmål nr. 7 fra Folketingets Retsudvalg vedrørende forslag til lov
om indsamling, anvendelse og opbevaring af oplysninger om flypassa-
gerer (PNR-loven) (L 107):
”Vil ministeren redegøre for, hvordan Rigspolitiet som data-
ansvarlig skal opfylde sine forpligtelser efter bl.a. retshåndhævel-
sesloven, når PNR-enheden behandler PNR-oplysninger for PET
og FE, idet det efter beskrivelsen i det supplerende høringsnotat
af 27. november 2018 er PET og FE som bestemmer, hvordan
denne behandling skal foregå, og Rigspolitiets databeskyttelses-
rådgiver ikke vil være ansvarlig for at føre tilsyn med den behand-
ling, som foretages for PET og FE i PNR-enheden?”
Svar:
1.
Rigspolitiet er efter lovforslaget dataansvarlig for den behandling af per-
sonoplysninger, der foretages i PNR-enheden. Det betyder i praksis, at Rigs-
politiet navnlig er ansvarlig for, at sletningskravene i lovforslagets §§ 5, 6,
8 og 9 samt maskeringskravet i lovforslagets § 7, stk. 1, dokumentations-
kravet i lovforslagets § 23 og logningskravet i lovforslagets § 24 overhol-
des.
Rigspolitiet er ved at etablere en it-løsning til brug for PNR-enhedens be-
handling af PNR-oplysninger. Retshåndhævelsesloven fastslår i den forbin-
delse, at den dataansvarlige skal sikre databeskyttelse gennem design, jf.
retshåndhævelseslovens § 20, og at det dokumenteres, hvordan it-systemer
understøtter de databeskyttelsesretlige forpligtelser, jf. retshåndhævelseslo-
vens § 23. Rigspolitiets databeskyttelsesrådgiver (DPO) og databeskyttel-
sesenhed vil på den baggrund formulere de kravspecifikationer til det kom-
mende it-system, der skal sikre, at it-systemet teknisk understøtter lovfor-
slagets krav til databeskyttelse. Dette arbejde samt en fortegnelse over den
kommende databehandling bliver i den forbindelse dokumenteret, og doku-
mentationen vil være tilgængelig for tilsynsmyndigheden.
2.
Vedrørende afmaskering af PNR-oplysninger fremgår det af lovforslagets
§ 7, stk. 2, nr. 1, at det er henholdsvis rigspolitichefen eller den, som be-
myndiges hertil, der skal godkende en afmaskering. I Rigspolitiet vil denne
opgave blive varetaget af PNR-enheden og underlagt intern ledelsesmæssig
kontrol. Endvidere vil DPO’en i medfør af lovforslagets § 7, stk. 3, blive
underrettet om beslutningen om afmaskering efter § 7, stk. 2, nr. 1, og vil
skulle foretage en efterfølgende kontrol af, om betingelserne for afmaske-
ring er opfyldt. DPO’en underretter PNR-enheden og, hvis det er relevant,
de berørte myndigheder, hvis betingelserne for afmaskering ikke er opfyldt.
2
L 107 - 2018-19 (1. samling) - Endeligt svar på spørgsmål 10: Spm., om PNR-enheden vil foretage en manuel gennemgang af samtlige PNR-oplysninger, der indeholder feltet generelle bemærkninger, for at slette eventuelle følsomme personoplysninger, eksempelvis ønsker om særlige måltider eller behov for særlig assistance, til justitsministeren
Såfremt databeskyttelsesrådgiveren konstaterer gentagne eller alvorlige
overtrædelser af betingelserne for afmaskering, vil rådgiveren kunne fore-
lægge dette for Rigspolitiets ledelse og eksempelvis indstille, at der træffes
passende organisatoriske eller tekniske tiltag, der kan understøtte en efter-
levelse af reglerne. Databeskyttelsesrådgiveren vil endelig kunne forelægge
eventuelle spørgsmål mv. for Datatilsynet.
Datatilsynet vil således være tilsynsmyndighed for så vidt angår PNR-enhe-
dens behandling af personoplysninger. Tilsynet med Efterretningstjene-
sterne er tilsynsmyndighed for så vidt angår PNR-enhedens behandling af
personoplysninger for Politiets Efterretningstjeneste og Forsvarets Efterret-
ningstjeneste.
3