I den gældende bekendtgørelse om Kriminalregisteret er det i bilag 1 og 2 fastsat hvilke personoplysninger politiet må registrere i hhv. afgørelses- og efterforskningsdelen. Procedurer for sletning af disse personoplysninger, herunder tidsfrister for sletning, er fastsat i bekendtgørelsens bilag 3 og 4.

Efter bekendtgørelsesudkastet vil disse regler i stedet blive fastsat i administrative forskrifter fra Rigspolitichefen. Af selve bekendtgørelsen (§ 10, stk. 2) vil det alene fremgå, at personoplysninger skal slettes senest to år efter personens død. Det fremgår ikke af bekendtgørelsesudkastet eller det tilhørende høringsbrev, om de påtænkte administrative forskrifter, der skal erstatte bilag 1-4, vil være offentligt tilgængelige.

På den private straffeattest vil § 11 fortsat begrænse hvilke oplysninger der medtages. På den offentlige straffeattest er det imidlertid alene slettefristen for afgørelsesdelen på 10 år fastsat i bilag 3 i den nuværende bekendtgørelse, som bestemmer hvornår en tidligere afgørelse ikke længere fremgår af den offentlige straffeattest. Det vil have væsentlig betydning for resocialisering af tidligere straffede personer, hvis administrative forskrifter forlænger denne slettefrist. For borgerne vil det endvidere skabe betydelig retlig usikkerhed, hvis slettefristerne i afgørelsesdelen ikke er offentligt tilgængelige som i dag. Borgerne kan ikke selv få indsigt i de personoplysninger, som videregives til andre offentlige myndigheder på den offentlige straffeattest.

I efterforskningsdelen kan der efter bilag 2 i den nuværende bekendtgørelse registreres en lang række oplysninger om borgerne, herunder særlige kategorier af personoplysninger (bl.a. helbredsoplysninger). Der kan endvidere registreres en række oplysninger om personer, som ikke er mistænkt for en straffelovsovertrædelse. Kravet er alene, at de optagne oplysninger er af ”politimæssig betydning”.

Efter artikel 8 i retshåndhævelsesdirektivet (EU) 2016/680 skal politiets behandling af personoplysninger være fastsat ved lov. Ifølge direktivets betragtning 33 indebærer dette krav, at behandlingen skal fremgå af et retsgrundlag, som er klart og præcist, og anvendelsen heraf skal være forudsigelig for de personer, der er omfattet af retsgrundlagets anvendelsesområde, jf. retspraksis om ”fastsat ved lov” fra EU-Domstolen og Den Europæiske Menneskerettighedsdomstol.

Ifølge betragtning 33 bør medlemsstaternes nationale ret som minimum angive målene, hvilke personoplysninger der behandles, samt procedurer for sletning, for derved i tilstrækkelig grad at sikre oplysningerne mod risikoen for misbrug og vilkårlighed.

Af pkt. 2.3.3.1 i de almindelige bemærkninger til retshåndhævelsesloven fremgår det, at behandling af personoplysninger skal ske i henhold til et retsgrundlag, der på den fornødne klare og præcise måde generelt eller konkret hjemler, at behandling kan finde sted. Dette blev af Justitsministeriet præciseret i de almindelige bemærkninger på baggrund af høringssvarene, jf. pkt. 2.1 i høringsnotatet for L 168 i folketingsåret 2016-17.

For så vidt angår Kriminalregisterets efterforskningsdel synes disse krav, efter IT-Politisk Forenings opfattelse, at være opfyldt med bilag 2 og 4 i den nuværende bekendtgørelse.

Efter IT-Politisk Forenings opfattelse er det tvivlsomt, om administrative forskrifter fra Rigspolitichefen opfylder kravene til retsgrundlag i retshåndhævelsesdirektivets betragtning 33. Bekendtgørelsen om Kriminalregisteret vil alene fastsætte, at der i efterforskningsdelen kan optages personoplysninger af ”politimæssig betydning”, hvilket overlader endda meget store skøn til politiet, med risiko for overdreven eller arbitrær registrering af personoplysninger i Kriminalregisteret.

Kriteriet ”politimæssig betydning” kan i sig selv ikke leve op til kravene om et retsgrundlag, som tilstrækkeligt klart og præcist fastsætter rækkevidden af indgrebet i borgernes grundlæggende rettigheder til privatliv og databeskyttelse (når der registreres personoplysninger i Kriminalregisteret), jf. artikel 7 og 8 i Charter om Grundlæggende Rettigheder, og EU-Domstolens retspraksis herom (eksempelvis præmis 155-163 i udtalelse 1/15 om PNR-aftalen mellem EU og Canada).

IT-Politisk Forening vil derfor anbefale, at de konkrete personoplysninger i Kriminalregisterets afgørelsesdel og efterforskningsdel fortsat skal være fastsat på bekendtgørelsesniveau (svarende til bilag 1 og 2 i den nuværende bekendtgørelse). Det samme gælder slettefrister, herunder ikke mindst slettefrister for Kriminalregisterets afgørelsesdel, som har betydning for hvad der medtages på den offentlige straffeattest.