Da justitsministeren i november 2018 fremsatte lovforslaget til den nuværende PNR-lov anførte Institut for Menneskerettigheder og IT-Politisk Forening i deres høringssvar, at lovforslaget på flere punkter var i strid med EU-retten. Denne vurdering i høringssvarene var baseret på EU-Domstolens udtalelse 1/15 om EU-Canada PNR-aftalen.

Efterfølgende har EU-Domstolen den 21. juni 2022 afsagt dom i sagen C-817/19 Ligue des droits humains om bl.a. fortolkning af PNR-direktivet. Modsat udtalelsen om EU-Canada PNR-aftalen finder EU-Domstolen, at PNR-direktivet kan fortolkes på en måde som er foreneligt med Charter om Grundlæggende Rettigheder.

EU-Domstolens fortolkning af PNR-direktivet er imidlertid på flere punkter i direkte modstrid med ordlyden i direktivet, eksempelvis for så vidt angår opbevaringsperioden for PNR-oplysninger (fem år i direktivet) og domstolskontrol for kompetente myndigheders adgang til lagrede PNR-oplysninger inden for 6 måneder. Dermed bekræfter dommen i sag C-817/19 reelt den kritik af lovforslaget fra 2018, som blev fremfør i høringssvarene fra Institut for Menneskerettigheder og IT-Politisk Forening.

Nærværende lovforslag søger at tilpasse den danske PNR-lov til EU-dommen. Lovforslaget er ganske omfattende, og har flere sider end PNR-lovforslaget fra 2018, men reelt sker der meget få ændringer af det danske PNR-system. Hvis Justitsministeriet vurderer, at Danmark står over for en terrortrussel og en alvorlig trussel mod den nationale sikkerhed, kan der fortsat indsamles PNR-oplysninger om alle flyvninger inden for EU, og alle indsamlede PNR-oplysninger kan fortsat opbevares i fem år.

For logning af trafikdata og lokaliseringsdata om elektronisk kommunikation har Justitsministeriet siden marts 2022 som bekendt vurderet, at Danmark står over for en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig. Dermed kan Justitsministeriet opretholde den generelle og udifferentierede logning på de facto permanent basis, uanset at EU-Domstolen i sin retspraksis tydeligvis har forudsat, at situationer med en alvorlig trussel mod den nationale sikkerhed, som kan begrunde mere alvorlig indgreb i grundlæggende rettigheder end bekæmpelsen af grov kriminalitet, har en ekstraordinær og tidsbegrænset karakter.

Med lovforslaget lægges der efter IT-Politisk Forenings vurdering op til at gøre det samme for indsamling og opbevaring af PNR-oplysninger. Derudover viderefører lovforslaget PET’s og FE’s meget brede adgang til PNR-oplysninger, som er langt mere omfattende end hvad PNR-direktivet tillader og mangler væsentlige retsgarantier. Det sker på trods af, at EU-Domstolen i C-817/19 fandt, at videregivelse af PNR-oplysninger til efterretningstjenesters generelle overvågningsaktiviteter ikke er foreneligt med PNR-direktivet.

Det er positivt, at Justitsministeriet med lovforlaget søger at tilpasse den danske PNR-lov til retspraksis fra EU-domstolen, omend det sker med en betydelig forsinkelse (mere end tre år efter dommen i sag C-817/19).

På en række punkter, navnlig opbevaring af PNR-oplysninger og efterretningstjenesternes adgang til PNR-oplysninger, vil den danske PNR-lov, efter IT-Politisk Forenings vurdering, fortsat være i strid med EU-Domstolens retspraksis om PNR. Derudover indarbejder lovforslaget ikke de krav til PNR-enhedens automatiserede analyser, herunder den eventuelle brug af kunstig intelligens (AI), som EU-Domstolen opstiller. Denne mere specifikke kritik af lovforslaget uddybes i det følgende.

Indsamling af PNR-oplysninger for flyvninger inden for EU

EU-Domstolen fastslår, at national lovgivning der fastsætter indsamling af PNR-oplysninger for alle flyvninger inden for EU er i strid med EU-retten, medmindre medlemsstaten står over for en reel og aktuel eller forudsigelig terrortrussel. En afgørelse om at anvende muligheden for indsamling af PNR-oplysninger for alle flyvninger inden for EU ”skal kunne gøres til genstand for en effektiv prøvelse ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, med henblik på at kontrollere, at denne situation foreligger, og at de betingelser og garantier, der skal være fastsat, er overholdt,” jf. præmis 172 i C-817/19.

Efter den foreslåede § 1 a, stk. 5 i PNR-loven kan justitsministeren fastsætte regler om, at der skal indsamles PNR-oplysninger for alle flyvninger inden for EU med tilknytning til Danmark. Med hensyn til domstolskontrollen af denne afgørelse henviser lovforslagets bemærkninger alene til grundlovens § 63.

Konsekvensen af dette er, at der kun vil ske domstolsprøvelse af afgørelsen, hvis eksempelvis en civilsamfundsorganisation vælger at anlægge et civil søgsmål mod Justitsministeriet.

Det vil for det første kræve betydelige økonomiske ressourcer, jf. eksempelvis erfaringerne fra den retssag som Foreningen imod Ulovlig Logning anlagde mod Justitsministeriet. Realistisk set vil processen med et sådant civilt søgsmål tage mere end et år, inklusive en eventuel vurdering af sagsøgers retlige interesse, og domstolens afgørelse vil således kunne vedrøre en bekendtgørelse, som ikke længere er gældende, men måske erstattet af en ny bekendtgørelse om indsamling af PNR-oplysninger for alle intra-EU flyvninger, potentielt på et andet beslutningsgrundlag (som vil kræve en ny retssag).

For det andet fremgår det af de almindelige bemærkninger pkt. 3.1.3, at de bagvedliggende klassificerede oplysninger, der ligger til grund for vurderingen af, om der foreligger en terrortrussel mod Danmark, som er reel og aktuel eller forudsigelig, som udgangspunkt ikke vil kunne kræves udleveret til brug for en retssag. Det vil i praksis afskære domstolen fra at kunne foretage en reel prøvelse af Justitsministerens afgørelse.

På den baggrund finder IT-Politisk Forening det særdeles tvivlsomt, om den i lovforslagets skitserede domstolskontrol overholder EU-Domstolens krav om, at afgørelsen skal kunne gøre til genstand for en effektiv prøvelse.

Opbevaring af PNR-oplysninger udover 6 måneder

Efter den nuværende danske PNR-lov (og PNR-direktivet) kan PNR-enheden opbevare indsamlede PNR-oplysninger i 5 år, dog således at der skal maskering af visse oplysninger efter 6 måneder.

EU-Domstolen fastslår i sin afgørelse i sagen C-817/19, at Charter om Grundlæggende Rettigheder er til hinder for en national lovgivning, som fastsætter en generel opbevaringsperiode på fem år for PNR-oplysninger (præmis 262).

PNR-enheden kan opbevare alle indsamlede PNR-oplysninger i 6 måneder, hvorefter de skal slettes, medmindre der foreligger objektive forhold, som kan godtgøre en risiko i forbindelse med terrorhandlinger eller grov kriminalitet, der har en – i det mindste indirekte – objektiv forbindelse med luftbefordring af passagerer. For de passagerer, hvor sådanne objektive forhold foreligger, kan der således ske en målrettet opbevaring af PNR-oplysninger i op til fem år.

EU-Domstolen anfører ingen muligheder for at forlænge opbevaringsperioden for PNR-oplysninger for alle passagerer udover 6 måneder, hvis en medlemsstat står over for en terrortrussel, der er reel og aktuel eller forudsigelig. I præmis 258 fastslår EU-Domstolen uden forbehold, at fortsat opbevaring af PNR-oplysninger for samtlige passagerer efter 6 måneder ikke er begrænset til det strengt nødvendige.

Efter den foreslåede § 5, stk. 3 i lovforslaget kan Justitsministeren imidlertid fastsætte regler om, at PNR-oplysninger kan opbevares i en længere periode end 6 måneder, jf. stk. 1, når der foreligger tilstrækkeligt konkrete omstændigheder, der giver anledning til at antage, at Danmark står over for en terrortrussel, der må anses for at være reel og aktuel eller forudsigelig. Det fremgår af de almindelige bemærkninger pkt. 3.2.3, at der vil kunne fastsættes regler om opbevaring af samtlige PNR-oplysninger i mere end 6 måneder (op til fem år).

Der er ikke i lovforslagets bemærkninger nogen redegørelse for, hvordan denne mulighed for opbevaring af samtlige PNR-oplysninger i op til fem år kan være forenelig med EU-Domstolens retspraksis.

Tværtimod anfører EU-Domstolen eksplicit i præmis 258, at generel opbevaring udover 6 måneder ikke er begrænset til det strengt nødvendige. Muligheden for at opbevare visse PNR-oplysninger i længere tid end 6 måneder gælder alene for de passagerer, hvor der i konkrete sager foreligger objektive forhold, som kan begrunde en længere opbevaring, jf. præmis 257 og 259. På den baggrund efterlader EU-Domstolens afgørelse, efter IT-Politisk Forenings vurdering, ikke nogen mulighed for at opbevare samtlige PNR-oplysninger i fem år.

Efterretningstjenesternes adgang til PNR-oplysninger

PNR-loven af 2018 implementerer en ordning, som svarer til PNR-direktivet, og derudover får PET og FE en udvidet adgang til PNR-oplysninger.

Efter PNR-direktivet kan PNR-enheden kun videregive PNR-oplysninger til kompetente myndigheder, hvis forhåndvurderingen efter artikel 6, stk. 2, litra a identificerer en passager, og det automatiske hit bekræftes af manuel kontrol, eller hvis kompetente myndigheder fremsætter behørigt begrundede anmodninger i konkrete sager. I PNR-direktivet er det altså alene PNR-enheden, som har adgang til den fulde mængde PNR-oplysninger.

Efter den nuværende PNR-lov kan PNR-enheden videregive PNR-oplysninger til PET og FE, hvis oplysningerne kan have betydning for tjenesternes opgavevaretagelse. Betingelsen ”kan have betydning” er opfyldt, medmindre det på forhånd kan udelukkes, at oplysningerne har relevans for tjenesten. Det er PET eller FE selv, som foretager denne vurdering, uden forudgående kontrol ved en domstol eller en uafhængig administrativ enhed.

Modsat hvad gælder for kompetente myndigheder i PNR-direktivet er der altså reelt ingen begrænsninger for videregivelsen af PNR-oplysninger til PET og FE. De behandlingsbetingelser og retsgarantier, som er fastsat for PNR-enheden i PNR-direktivet, gælder ikke for behandlingen hos PET og FE, heller ikke hvis tjenesterne får udleveret PNR-oplysninger om en større gruppe personer til automatiseret dataanalyse.

I den belgiske PNR-lov, der var genstand for sagen C-817/19, havde efterretningstjenester adgang til PNR-oplysninger med henblik på overvågning af aktiviteter (ikke nærmere konkretiseret). EU-Domstolen udtalte, at PNR-direktivet udtømmende opregner de formål, som kan forfølges med behandling af PNR-oplysninger efter direktivet, og at dette er til hinder for national lovgivning der tillader behandling af PNR-oplysninger, der er indsamlet i overensstemmelse med PNR-direktivet, til andre formål (herunder efterretningstjenesters overvågning af aktiviteter).

Justitsministeriet vurderer, at EU-Domstolen i C-817/19 alene opstiller begrænsninger for anvendelsen af PNR-oplysninger, der er indsamlet i overensstemmelse med direktivet, og at der uden for disse rammer kan fastsættes andre regelsæt, herunder om efterretningstjenesternes adgang. På den baggrund vil Justitsministeriet med lovforslaget etablere en separat afdeling for PET og FE i PNR-enheden og et separat IT-system for PNR-oplysninger til brug for opgaver vedrørende den nationale sikkerhed. Behandlingsreglerne for denne behandling af PNR-oplysninger i PNR-enheden overføres til et nyt kapitel 5 a i PNR-loven.

Der sker imidlertid ikke en selvstændig indsamling af PNR-oplysninger fra luftfartsselskaber til opgaver vedrørende national sikkerhed. PNR-enheden modtager fuldstændig som i dag PNR-oplysninger fra luftfartsselskaber, som er forpligtet til at videregive disse oplysninger, i praksis til både PNR-enheden og efterretningstjenesterne. Formelt er der ikke længere tale om, at PNR-oplysninger i enkelt database konsulteres med henblik på andre formål, som EU-Domstolen problematiserer i præmis 235, men det er alene fordi samtlige PNR-oplysninger er kopieret til en separat database for disse andre formål. Det er vanskeligt at se, at denne konstruktion skulle gøre nogen forskel i forhold til EU-Domstolens afgørelse i sag C-817/19.

Derudover er der det mere principielle spørgsmål, om PET’s og FE’s indsamling og behandling af PNR-oplysninger via PNR-enheden overholder EU-retten, herunder Charter om Grundlæggende Rettigheder. Det spørgsmål afhænger ikke af hvordan PNR-oplysningerne indsamles fra luftfartsselskaber (via implementering af PNR-direktivet eller et andet regelsæt), og det afhænger heller ikke af, om PNR-direktivet udtømmende opregner behandlingsformål.

Efter IT-Politisk Forenings opfattelse er PNR-lovens bestemmelser om behandling af PNR-oplysninger for PET og FE ikke forenelige med Charter om Grundlæggende Rettigheder.

For det første er der EU-Domstolens retspraksis om, at lovgivning som medfører indgreb i rettigheder sikret af Charteret, skal fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af de foranstaltninger, som den fastsætter, og lovgivningen skal opstille en række mindstekrav, således at de personer, hvis oplysninger er blevet videregivet, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres personoplysninger mod risikoen for misbrug. Lovgivningen skal navnlig angive, under hvilke omstændigheder og på hvilke betingelser der kan vedtages en foranstaltning om behandling af sådanne oplysninger, hvorved det sikres, at indgrebet begrænses til det strengt nødvendige (jf. eksempelvis præmis 117 i C-817/19).

PNR-loven, både den nuværende og efter de foreslåede ændringer, giver mulighed for at videregive PNR-oplysninger til PET’s og FE’s bredt definerede opgaver vedrørende national sikkerhed, hvis det kan have betydning for tjenesternes opgavevaretagelse. Det er vanskeligt at se, at en så omfattende adgang til behandling af PNR-oplysninger skulle være klar og præcis og begrænset til det strengt nødvendige i forhold til EU-Domstolens retspraksis. PNR-loven fastsætter heller ikke nogen retsgarantier for behandlingen af PNR-oplysninger efter at de er videregivet til PET eller FE. Den efterfølgende behandling sker efter PET-loven eller FE-loven, og vil ikke nødvendigvis være i overensstemmelse med eksempelvis EU-rettens regler om databeskyttelse.

For det andet kræver artikel 8, stk. 3 i Charteret, at behandling af personoplysninger skal være underlagt en uafhængig myndigheds kontrol. Tilsynet med Efterretningstjenesternes (TET) fører kontrol med behandlingen af personoplysninger hos PET og FE, men henset de begrænsede beføjelser til TET, er det tvivlsomt, om dette tilsyn overholder kravene i EU-Domstolens retspraksis. TET har eksempelvis ikke mulighed for at træffe bindende afgørelser over for PET og FE, eller udstede påbud om at bringe en ulovlig behandling af personoplysninger til ophør.

Hos FE kan TET kun føre tilsyn med behandlingen af personoplysninger om i Danmark hjemmehørende personer, og de begrænsede databeskyttelsesregler i FE-lovens kapitel 3 gælder i øvrigt kun for disse personer. Der er altså intet uafhængigt tilsyn med behandlingen af personoplysninger om andre personer, herunder EU-borgere, hvis PNR-oplysninger er overført til den danske PNR-enhed. Disse personer er reelt fuldstændigt frataget adgangen til effektive retsmidler, som sikret af Charterets artikel 47, når deres PNR-oplysninger behandles af FE. En sådan lovgivning vil efter EU-Domstolens retspraksis, jf. eksempelvis præmis 95 i C-362/14 Schrems, ikke respektere det væsentligste indhold af de grundlæggende rettigheder, hvilket er et krav i artikel 52, stk. 1 i Charteret.

IT-Politisk Forening har løbende fremsat disse vurderinger over for Justitsministeriet og Forsvarsministeriet i tidligere høringssvar om PET’s og FE’s indhentning af PNR-oplysninger.
Krav til den forudgående vurdering af PNR-oplysninger

EU-Domstolen opstiller i præmis 176-213 en række specifikke betingelser for hvordan PNR-direktivets artikel 6, stk. 2, litra a om automatisk forhåndsvurdering af flypassagerer skal fortolkes, således at grænserne for det strengt nødvendigt overholdes (jf. præmis 213).

Den danske PNR-lov indeholder i § 10, nr. 1 og § 11 en næsten ordret gengivelse af hhv. PNR-direktivets artikel 6, stk. 2, litra a og artikel 6, stk. 3. Disse bestemmelser i PNR-loven foreslås ikke ændret med nærværende lovforslag.

IT-Politisk Forening vil i den forbindelse påpege, at EU-Domstolens fortolkning i præmis 187-188 begrænser hvilke databaser, som PNR-oplysninger kan sammenholdes med efter PNR-lovens § 11, nr. 1 (databaser vedrørende personer eller genstande, der eftersøges eller er indberettet, i overensstemmelse med de EU-regler og internationale eller nationale regler, som finder anvendelse på sådanne databaser).

Med hensyn til behandling af PNR-oplysninger efter forud fastsatte kriterier (§ 11, nr. 2) udtaler EU-Domstolen i præmis 194-195, at bestemmelsen om ”forud fastsatte” er til hinder for anvendelsen af teknologier med kunstig intelligens som maskinlæring. Uigennemsigtige teknologier som maskinlæring risikerer at fratage den individuelle gennemgang af hits deres effektive virkning. Ved den manuelle gennemgang af hits skal det være muligt at forstå hvorfor et givet program har genereret et hit. Anvendelse af teknologier, hvor dette ikke er muligt (som maskinlæring og kunstig intelligens) kan fratage de registrerede deres ret til effektive retsmidler.

IT-Politisk Forening vil anbefale, at disse krav til PNR-enhedens forhåndsvurdering fremgår direkte af bemærkningerne til den danske PNR-lov via en passende tilføjelse til nærværende lovforslag. Det skyldes ikke mindst, at IT-systemer med kunstig intelligens i disse år udbredes i store dele af den danske offentlige sektor, inklusive hos politiet og måske også hos PNR-enheden.