Høringssvar vedr. lovforslag om retshåndhævende myndigheders behandling af personoplysninger

På grund af den relativt korte tidsfrist og lovforslagets omfang har IT-Politisk Forening i dette høringssvar fokuseret på den registreredes rettigheder, databeskyttelse gennem design og standardindstillinger, samt enkelte andre bestemmelser i lovforslaget, som efter vores vurdering har stor betydning for borgernes grundlæggende ret til privatliv og persondatabeskyttelse.

Den registreredes rettigheder

For politiets behandling af personoplysninger på det strafferetlige område har persondatalovens § 2, stk. 4 en fuldstændig undtagelse for oplysningspligten over for den registrerede (kapitel 8), indsigelse mod og berigtigelse af forkerte oplysninger (§§ 35-37), samt automatiske afgørelser og profilering (§ 39). Retten til indsigt hos politiet er på en række områder fuldstændigt afskåret via persondatalovens § 32, stk. 5. Det gælder også for politiets behandling af personoplysninger i forbindelse med automatisk nummerpladegenkendelse (ANPG), selvom en betydelig del af registreringen i ANPG-systemet ikke har nogen relation til efterforskningen af konkrete igangværende straffesager.

I Politiets Efterforskningsstøtte Database (PED) er retten til indsigt ligeledes fuldstændigt afskåret via persondatalovens § 32, stk. 5. Personoplysninger i persondelen skal jf. PED-bekendtgørelsens § 10, stk. 1 først slettes 10 år efter at der senest er indlagt oplysninger om en person. Borgerne kan derfor være opført i PED i lang tid (10 år) efter at en mistanke mod dem i forbindelse med en politimæssig efterforskning er fuldstændigt afklaret, og borgerne vil heller ikke i den situation (hvor der ikke er nogen efterforskning) kunne få indsigt i personoplysninger om dem.

I Det Centrale Kriminalregister (Kriminalregisteret) er retten til indsigt også kraftigt begrænset, idet borgerne alene kan få indsigt i de oplysninger som fremgår af straffeattesten, dvs. oplysninger fra Kriminalregisterets afgørelsesdel, som borgerne vel må formodes at være bekendt med i forvejen. Der er ingen indsigt i oplysninger i efterforskningsdelen (bilag 2 i bekendtgørelsen om Kriminalregisteret), selvom der her kan registreres en lang række oplysninger om borgerne, herunder betegnelser (aktualitetsmarkeringer) som ”uromager”, ”farlig” eller ”narkobruger”, som kan have væsentlig betydning for borgernes kontakt med politiet i det offentlige rum og deres rettigheder og frihedsrettigheder, ligesom der kan være tale om personoplysninger som borgerne selv mener er ukorrekte. Politiet kan også registrere visse helbredsoplysninger i Kriminalregisteret under aktualitetsmarkeringerne. De fleste aktualitetsmarkeringer slettes først efter 20 år.

Hvis der er tale om personoplysninger som er modtaget fra et andet EU-land i henhold til Rådets afgørelse 2008/977/RIA (rammeafgørelsen) vil der under gældende dansk ret (rammeafgørelsesbekendtgørelsen, BEK nr 1287 af 25/11/2010) være ret til indsigt, indsigelse og berigtigelse, altså en bedre retsstilling end efter persondatalovens almindelige regler på det strafferetlige område.

Retshåndhævelsesdirektet må generelt indebære en betydelig styrkelse af den registreredes rettigheder, især i forhold til politiets rent nationale behandling af personoplysninger, som ikke er omfattet af EU-retlige forpligtelser i dag, men også i forhold til rammeafgørelsesbekendtgørelsen.

Således er der efter retshåndhævelsesdirektivet som udgangspunkt en oplysningspligt over for den registrerede, ret til indsigt, samt ret til indsigelse og berigtigelse. Denne ret er selvfølgelig ikke absolut, idet den kan begrænses ved lov, ligesom det er tilfældet i dag efter persondatalovens § 30, stk. 2 i forhold til indsigtsretten (og oplysningspligten, hvor der dog er en mere generel undtagelse på det strafferetlige område).

Retshåndhævelsesdirektivets muligheder for at begrænse indsigtsretten fremgår af artikel 15, stk. 1, som i lovforslaget er gennemført ved § 16 og § 14, stk. 1. Selv om de overordnede begrundelser minder meget om persondatalovens § 30, stk. 2, er det IT-Politisk Forenings klare opfattelse, at betingelserne for at begrænse indsigtsretten er mere restriktive i retshåndhævelsesdirektivet. Det skyldes især det nye krav om at indskrænkningen skal udgøre en ”nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser”. Af retshåndhævelsesdirektivets betragtning 44 fremgår det desuden, at den dataansvarlige gennem en konkret og individuel undersøgelse af de enkelte tilfælde skal vurdere, om indsigtsretten helt eller delvist bør begrænses.

Det er meget svært at vurdere, om lovforslaget reelt afspejler den styrkelse af de registreredes rettigheder, som gennemførelse af retshåndhævelsesdirektivet må antages at medføre. Det skyldes at lovforslaget i § 14, stk. 1 alene nævner de overordnede begrundelser for at begrænse de registreredes rettigheder fra direktivet (direktivets artikel 15, stk. 1), og overlader det til Justitsministeren at fastsætte nærmere regler om disse begrænsninger i bekendtgørelser. Justitsministeren får efter § 16, stk. 4 også mulighed for at fastsætte regler om, at begæringer om indsigt i almindelighed må nægtes, ligesom den nuværende § 32, stk. 5 i persondataloven. Det sidste synes umiddelbart at være i strid med kravet i betragtning 44 om en konkret og individuel undersøgelse af de enkelte anmodninger om indsigt.

IT-Politisk Forening har forståelse for, at begrænsningerne af retten til indsigt (og de øvrige rettigheder for den registrerede) fastsættes i en bekendtgørelse. Men der er efter vores opfattelse behov for en gennemgribende re-vurdering af de eksisterende begrænsninger af indsigtsretten, som er næsten alt-omfattende for politiets behandling af personoplysninger på det strafferetlige område. Det gælder især ANPG-registeret, hvor registreringerne i mange tilfælde er helt uden tilknytning til konkrete efterforskninger, som der selvfølgelig er et legitimt behov for at beskytte. Men der er også behov for en revurdering i forhold til bekendtgørelserne om PED og Kriminalregisteret, hvor personoplysninger kan behandles i meget lang tid (10-20 år) efter at en politimæssig efterforskning er afsluttet, og stadig uden at der er nogen ret til indsigt.

Det er vanskeligt at se, at den nye ret til indsigelse mod behandling af ukorrekte personoplysninger og berigtigelse af disse (lovforslagets § 17), kan have et reelt indhold, hvis retten til indsigt er afskåret på samme generelle måde som i dag. Uden kendskab til indholdet af de personoplysninger, som politiet behandler om borgerne, er det generelt svært at gøre brug af en formel ret til at gøre indsigelse mod ukorrekte oplysninger og få disse oplysninger berigtiget.

Lovforslagets § 55, stk. 2 har en ikrafttrædelsesbestemmelse om, at regler udstedt i medfør af bl.a. § 32, stk. 5 og § 72 i persondataloven fortsat finder anvendelse, medmindre det vil være i strid med denne lov (lov om retshåndhævende myndigheders behandling af personoplysninger).

Hertil skal IT-Politisk Forening bemærke, at retshåndhævelsesdirektivets betragtning 33 stiller krav til lovgrundlaget, især dets tilgængelighed og forudsigelighed (dette uddybes i vores bemærkninger nedenfor i afsnittet om begrebet ”lov”). Det kan på den baggrund ikke være overladt til borgerne selv at vurdere hvilke dele af eksempelvis ANPG-bekendtgørelsen, PED-bekendtgørelsen eller bekendtgørelsen om Kriminalregisteret, som fortsat finder anvendelse, fordi de pågældende bestemmelser ikke strider mod retshåndhævelsesdirektivet. Specielt i forhold til bestemmelser om begrænsninger af de registreredes rettigheder, for eksempel retten til indsigt, er denne usikkerhed om retstilstanden meget problematisk.

Justitsministeriet må hurtigst muligt revidere de eksisterende bekendtgørelser udstedt efter persondataloven, så de ikke strider mod den nye lov om retshåndhævende myndigheders behandling af personoplysninger.

Databeskyttelse gennem design og gennem standardindstillinger

Retshåndhævelsesdirektivet indfører, ligesom databeskyttelsesforordningen 2016/679/EU, bestemmelser om databeskyttelse gennem design og gennem standardindstillinger for blandt andet at understøtte de generelle krav om formålsbegrænsning, dataminimering og behandlingssikkerhed, som allerede fremgår af den gældende persondatalov (baseret på persondatadirektivet 95/46/EF). Et eksempel på databeskyttelse gennem design kunne være pseudonymisering, som i øvrigt omtales i udkastet til lovforslag af 10. februar 2017 vedrørende politiets anvendelse af databaserede analyseredskaber (intelligence-led policing).

Retshåndhævelsesdirektivets artikel 20 om databeskyttelse gennem design og gennem standardindstillinger gennemføres med § 20, stk. 2 i lovforslaget. Ifølge de almindelige bemærkninger pkt. 2.5.3.1 mener Justitsministeriet imidlertid ikke, at kravet om databeskyttelse gennem design og gennem standardindstillinger omfatter eksisterende systemer til behandling af personoplysninger. Derfor fastsættes det i § 53, stk. 2, at § 20, stk. 2 kun gælder for automatiske databehandlingssystemer, der idriftsættes den 1. maj 2017 eller senere.

IT-Politisk Forening undrer sig over denne fortolkning af artikel 20 i retshåndhævelsesdirektivet. Efter vores læsning af direktivet er eksisterende systemer omfattet af bestemmelserne om databeskyttelse gennem design og gennem standardindstillinger. Nogle af de hensyn, som er nævnt i artikel 20 stk. 1, især implementeringsomkostningerne, vil givetvis afhænge af, om der er tale om et nyt system eller et eksisterende system, men det er ikke det samme som at eksisterende systemer helt kan undtages fra artikel 20.

IT-Politisk Forenings vurdering er baseret på de følgende tre argumenter. For det første henviser direktivets artikel 20, stk. 1 både til ”tidspunktet for fastlæggelse af midlerne til behandling” og til ”tidspunktet for selve behandlingen”, og den dataansvarlige skal tage hensyn til det aktuelle tekniske niveau, implementeringsomkostningerne, og de risici som behandlingen skaber for fysiske personers rettigheder og frihedsrettigheder. At tidspunktet for behandlingen nævnes understøtter, at eksisterende systemer er omfattet af kravene. I betragtning 53 indgår databeskyttelse gennem design og gennem standardindstillinger som et direkte element i påvisningen af, at den dataansvarlige overholder direktivet. For det andet er der i artikel 20 ikke som i artikel 28 en direkte henvisning til et ”nyt register” eller ”nye teknologier” som i artikel 27. For det tredje, må gennemførelses­bestemmelserne i direktivets artikel 63 opfattes som en udtømmende liste af tilfælde, hvor retshåndhævelses­direktivets krav kan fraviges midlertidigt i forhold til eksisterende systemer. Artikel 63, stk. 2 og 3 tillader at logningskravene i direktivets artikel 25, stk. 1 (der er udvidet i forhold til den nuværende sikkerhedsbekendtgørelse) i ekstraordinære tilfælde kan udskydes til 2023 eller endog til 2026 under ekstraordinære omstændigheder med alvorlige vanskeligheder. Men der er ikke i artikel 63 nogen tilsvarende henvisning til artikel 20. Skæringsdatoen i artikel 63 er i øvrigt 6. maj 2016 (direktivets ikrafttrædelsesdato) og ikke datoen for medlemsstaternes gennemførelse af direktivet (dvs. 1. maj 2017 for Danmarks vedkommende).

Den tidsmæssigt ubegrænsede undtagelse fra kravene om databeskyttelse gennem design og gennem standardindstillinger, som Justitsministeriet foreslår i lovforslagets § 53, stk. 2 for eksisterende databehandlingssystemer, vil i øvrigt volde betydelige praktiske fortolkningsproblemer. Hvornår er et eksisterende system til automatisk databehandling modificeret så meget, at der er tale om et nyt system som er idriftsat efter den 1. maj 2017? Formentlig sker der løbende små eller store justeringer af eksempelvis Kriminalregisterets systemer, og det kan næppe være Justitsministeriets hensigt, at der aldrig nogensinde skal være krav om databeskyttelse gennem design i Kriminalregisteret.

Forskellige kategorier af registrerede

Efter lovforslagets § 8 skal den dataansvarlige så vidt muligt sondre mellem forskellige kategorier af registrerede (mistænkte, dømte, ofre og andre parter).

I den forbindelse vil IT-Politisk Forening påpege, at politiet i ANPG-systemet og formentlig også i fremtidige systemer til intelligence-led policing (herunder POL-INTEL) inden for strafferetsplejen behandler personoplysninger om borgere, som ikke er mistænkte for strafbare handlinger. Når politiet indsamler oplysninger om ikke-mistænkte personer til eksempelvis intelligence-led policing formål, bør den nye bestemmelse i lovforslagets § 8 som minimum føre til, at der i forhold til kravene i den eksisterende lovgivning (persondataloven) fastsættes højere krav til beskyttelsen af denne kategori af registrerede.

I ANPG-bekendtgørelsen er der efter IT-Politisk Forenings opfattelse behov for bestemmelser, som konkret og reelt beskytter borgere mod at de kan blive mistænkt for en strafbar handling på grundlag af dataanalyse af deres kørselsmønstre og kørselsadfærd (profilering). Den eksisterende § 7 i ANPG-bekendtgørelsen giver ikke borgerne denne beskyttelse mod profilering, specielt ikke når der er tale om kriminalitet som er omfattet af en målrettet politimæssig indsats, idet en målrettet politimæssig indsats samtidig giver mulighed for en væsentlig udvidelse af registreringerne i ANPG-systemet (registrering af no-hits efter ANPG-bekendtgørelsens § 6, stk. 1). Det er netop i den situation, hvor indsamlingen af oplysninger om ikke-mistænkte borgere kraftigt forøges, at der er behov for en yderligere beskyttelse af denne kategori af registrerede.

Begrebet ”lov”

Retshåndhævelsesdirektet giver medlemsstaterne muligheder for at fastsætte en række bestemmelser ved lov, herunder ikke mindst begrænsninger af den registreredes rettigheder. Efter direktivets betragtning 33 skal ”lov” forstås bredt i den forstand, at det ikke behøver at være love vedtaget af et parlament, men der stilles til gengæld en række krav til lovgrundlaget, uanset om det eksempelvis er en lov vedtaget af Folketinget eller en bekendtgørelse udstedt Justitsministeren. Det fremgår konkret af betragtning 33, at lovgrundlaget skal være klart, præcist og forudsigeligt i overensstemmelse med kravene i retspraksis fra EU-Domstolen og den Europæiske Menneskerettighedsdomstol:

En sådan national ret i medlemsstaterne, et sådant retsgrundlag eller en sådan lovgivningsmæssig foranstaltning bør imidlertid være klar(t) og præcis(t), og anvendelse heraf bør være forudsigelig for de personer, der er omfattet af dets/dens anvendelsesområde, jf. retspraksis fra Domstolen og Den Europæiske Menneskerettighedsdomstol.

Betragtning 33 nævnes ikke i lovforslagets bemærkninger, hvilket selvfølgelig ikke er nødvendigt, blot love og bekendtgørelser lever op til kravene i betragtning 33. Men af lovforslagets pkt. 2.3.3.1 (side 59) fremgår det omvendt, at

Begrebet ”lov” vil i denne forbindelse omfatte enhver eksisterende regulering, der generelt eller konkret hjemler, at behandling kan finde sted. Dette vil således også omfatte nærværende lov i det omfang en konkret behandling til et andet formål kan anses for at være hjemlet herved.

Hertil skal IT-Politisk Forening bemærke, at der må være grænser for hvor ”generel” en lovhjemmel kan være i forhold til kravene i direktivets betragtning 33.

Undtagelser for efterretningstjenesterne

Lovforslagets § 1, stk. 2 har en generel undtagelse for Politiets Efterretningstjeneste (PET) og Forsvarets Efterretningstjeneste (FE). Det begrundes i bemærkningerne med at retshåndhævelsesdirektivet ikke finder anvendelse på aktiviteter, som falder uden for EU-retten, for eksempel national sikkerhed.

IT-Politisk Forening vil anbefale, at undtagelsen for national sikkerhed formuleres på samme måde som i retshåndhævelsesdirektivets artikel 2, stk. 3, litra a, dvs. som en undtagelse vedrørende udøvelsen af aktiviteter, der falder uden for EU-retten, i stedet for en generel undtagelse vedrørende PET og FE som sådan.

PET har tidligere beskæftiget sig med andre opgaver end straffelovens kapitel 12 og 13, og der vil givetvis også i fremtiden være andre situationer, hvor især PET men måske også FE udfører opgaver inden for EU-retten og retshåndhævelsesdirektivets anvendelsesområde. Ifølge Forsvarsministeriets vurdering i lovforslag L 146 af 24. februar 2017 er FEs modtagelse af PNR-oplysninger fra SKAT eksempelvis omfattet af EU-retten.

Hvis der mellem EU-landene skal udveksles oplysninger om personer, som er mistænkt for terrorisme, vil det generelt være hensigtsmæssigt, at der gælder passende databeskyttelsesregler for de overførte personoplysninger. Nogle EU-lande vil måske være tilbageholdende med at overføre personoplysninger om konkrete terrormistænkte personer til Danmark, hvis retshåndhævelsesdirektivets databeskyttelsesregler reelt ikke gælder, fordi personoplysningerne havner hos PET.

Terrorisme er meget ofte grænseoverskridende kriminalitet, og der er givetvis behov for et tættere samarbejde mellem EU-landene på dette område, herunder ikke mindst informationsudveksling om konkrete mistænkte personer. Det er meget bedre end masseovervågning af hele befolkningen. Hvis alle EU-lande fastholder retten til at udvande persondatabeskyttelsen i retshåndhævelsesdirektivet med henvisning til national sikkerhed, kan det meget vel få negative konsekvenser for informationsudvekslingen mellem EU-landene, og ultimativt for effektiviteten af terrorbekæmpelsen i Europa.

Særlige bestemmelser for CPR-nummeret

Ifølge bemærkningerne pkt. 2.3.3.5 er der efter Justitsministeriets opfattelse ikke behov for at fastsætte særlige bestemmelser om behandling af personnummeret svarende til persondatalovens § 11. Behandling af personnummeret sikrer en entydig identifikation af borgeren i retshåndhævende myndigheders systemer, og persondatalovens § 11 begrænser alene private dataansvarliges behandling af personnummeret.

Hvis der sker et brud på datasikkerheden som omfatter personnummeret, kan dette give alvorlige problemer for borgerne, selv i den situation hvor bruddet alene omfatter personnummeret og eventuelt borgerens navn. Det skyldes, at personnummeret anvendes generelt i den offentlige forvaltning og nogle private virksomheder, og at personnummeret dermed kan bidrage til at sammenkæde oplysninger om borgeren fra forskellige kilder, herunder fra brud på datasikkerheden hos andre dataansvarlige, til en samlet profil af borgeren. Et brud på datasikkerheden som omfatter personnummeret vil derfor efter IT-Politisk Forenings opfattelse så godt som altid indebære en høj risiko for fysiske personer rettigheder i forhold til lovforslagets § 29, stk. 1 (og dermed krav om underretning af de registrerede ved brud på datasikkerheden).

IT-Politisk Forening vil opfordre til at denne sammenhæng mellem personnummeret og ”høj risiko” i forbindelse med brud på datasikkerheden nævnes i bemærkningerne. Det vil også give retshåndhævende myndigheder et yderligere incitament til at gennemføre databeskyttelse gennem design, idet underretning af den registrerede ved brud på datasikkerheden kan udelades, hvis den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, for eksempel pseudonymisering og kryptering, jf. retshåndhævelsesdirektivets artikel 31, stk. 3, litra a. Den økonomiske risiko for databehandlere vil også blive mindre.

Særlige kategorier af personoplysninger

Ved behandling af særlige kategorier af personoplysninger (følsomme personoplysninger) er der i lovforslagets § 10 et krav om streng nødvendighed for at behandle disse personoplysninger, hvilket er et skærpet krav i forhold til behandling af almindelige personoplysninger, som blot skal være nødvendigt.

I bemærkningernes pkt. 2.3.3.6 anfører Justitsministeriet, at det i praksis formentlig ikke vil være muligt at angive nogen væsentlig forskel på kriterierne ”nødvendigt” og ”strengt nødvendigt”. Det begrundes med at oplysninger om eksempelvis politisk overbevisning kun vil blive behandlet i forbindelse med et politisk motiveret mord.

IT-Politisk Forening vil dog samtidig påpege, at der i Kriminalregisteret kan behandles visse helbredsoplysninger om borgerne, og at disse oplysninger kan opbevares i meget lang tid. Kravet om streng nødvendighed for at behandle helbredsoplysninger og andre følsomme personoplysninger er en skærpelse i forhold til persondatalovens § 7, stk. 6, som alene kræver at behandlingen skal være nødvendig. Det bør give anledning til en fornyet vurdering af behandlingsreglerne for helbredsoplysninger i eksempelvis Kriminalregisteret.

Udover det skærpede behandlingskrav om streng nødvendighed udvider retshåndhævelsesdirektivet definitionen af særlige kategorier af personoplysninger (følsomme personoplysninger) i forhold til persondataloven. Biometriske data med det formål entydigt at identificere en person er i dag almindelige personoplysninger, men vil fremover falde ind under særlige kategorier af personoplysninger. Det har blandt andet betydning for fingeraftryk og automatisk ansigtsgenkendelse. IT-Politisk Forening er ikke bekendt med at dansk politi anvender automatisk ansigtsgenkendelse i forbindelse med videoovervågning, men det er ikke utænkeligt at Rigspolitiet og Justitsministeriet vil overveje automatisk ansigtsgenkendelse i fremtiden (eller allerede har gjort det). Når behandlingen af personoplysninger er knyttet til en generel overvågning i det offentlige rum som videovervågning, er forskellen mellem nødvendig og streng nødvendig formentlig større end eksemplerne i bemærkningernes pkt. 2.3.3.6.

IT-Politisk Forening vil også anbefale, at politiets behandlingsregler for fingeraftryk og DNA-profiler generelt genovervejes i lyset af at disse personoplysninger nu falder ind under særlige kategorier af personoplysninger, hvilket i en eventuel interesseafvejning mellem politiets og den registreredes interesser alt andet lige må føre til et øget hensyn til den registreredes rettigheder og frihedsrettigheder.

Fortegnelser over behandlingsaktiviteter

Retshåndhævelsesdirektivet indfører et nyt krav om fortegnelser over behandlingsaktiviteter. Ifølge lovforslagets bemærkninger svarer kravene til indholdet af disse fortegnelser til de eksisterende krav til indholdet af anmeldelser til Datatilsynet. Anvendelsesområdet udvides dog til alle behandlingsaktiviteter (jf. lovforslagets bemærkninger pkt. 2.5.3.4), mens der i dag kun er krav om anmeldelse på nogle områder, og databehandlere skal fremover også udarbejde fortegnelser. Efter anmodning skal den dataansvarlige og databehandleren stille fortegnelserne til rådighed for tilsynsmyndigheden (Datatilsynet eller Domstolsstyrelsen).

Anmeldelserne til Datatilsynet er i dag offentligt tilgængelige på hjemmesiden https://anmeld.datatilsynet.dk. Så vidt IT-Politisk Forening kan vurdere er dette ikke et krav i persondataloven, men anmeldelserne ville formentlig være omfattet af en anmodning aktindsigt efter offentlighedsloven hos Datatilsynet.

IT-Politisk Forening vil opfordre til, at fortegnelserne for de dataansvarliges behandlingsaktiviteter bliver gjort offentligt tilgængelige på samme måde som anmeldelserne er det i dag. Det kan enten ske på den dataansvarliges hjemmeside eller på Datatilsynets hjemmeside.

Offentliggørelsen af de nuværende anmeldelser er et nyttigt arbejdsredskab for organisationer som IT-Politisk Forening, der arbejder med privatliv og persondatabeskyttelse, og offentliggørelse af fortegnelserne kan kun bidrage til at styrke borgernes tillid til den offentlige sektors, herunder retshåndhævende myndigheders, behandling af personoplysninger. Hvis fortegnelserne indholdsmæssigt svarer til de nuværende anmeldelser, bør der ikke være noget problem med at offentliggøre dem (eksempelvis fortrolighedshensyn). Offentliggørelse vil samtidig spare tid for de retshåndhævende myndigheder i forhold til behandling af anmodninger om aktindsigt i fortegnelserne efter offentlighedsloven.