Fastsatt ved kgl.res. 21. desember 2000 med hjemmel i lov av 16. juli 1999 Nr. 66 om lov om Schengen informasjonssystem (SIS) § 25. Fremmet av Justis- og politidepartementet. Endret ved forskrift 22 sep 2006 Nr. 1087.
Kapittel 1.- Generelle bestemmelser om registrering
§ 1-1.– Opplysningenes art og formål med registrering
Det kan bare registreres opplysninger som nevnt i SIS-loven § 6 når det er nødvendig for å oppnå et av formålene som nevnt i SIS-loven §§ 7 – 9 og den konkrete sakens betydning tilsier at opplysningen bør registreres.
§ 1-2.– Kompetanse til å beslutte registrering
Registrering av opplysninger må være besluttet av den som har kompetanse til å treffe avgjørelsen som ligger til grunn for registreringen. Registrering av meldinger som beror på en påtalemessig beslutning, kan bare besluttes av tjenestemenn med påtalekompetanse. Registrering av meldinger om innreiseforbud jf. SIS-loven § 7 Nr. 2 kan bare besluttes av vedkommende utlendingsmyndighet.
§ 1-3.– Kontroll av meldinger før registrering
Den registeransvarlige har ansvar for at meldinger som legges inn i Norge er i samsvar med bestemmelsene i SIS-loven, jf. forskriften § 1-1.
Den registeransvarlige kontrollerer for øvrig om opplysningene er korrekte og oppdaterte og om beslutningen om registrering er truffet av kompetent myndighet.
§ 1-4.– Anmodning om pågripelse i utlandet
Ved registrering av melding med anmodning om pågripelse jf. SIS-loven § 7 Nr. 1, skal påtalemyndigheten kontrollere om den nasjonale lovgivning hos de konvensjonspartene som anmodningen rettes til gir hjemmel for pågripelse.
Den registeransvarlige plikter å bistå med å skaffe oversikt av det aktuelle regelverk hos de andre konvensjonspartene.
§ 1-5.– Avslag på anmodning om registrering/klage
Dersom den registeransvarlige finner at en melding ikke oppfyller vilkårene for registrering i henhold til SIS-loven, skal meldingen ikke registreres.
Beslutning om å nekte registrering meddeles skriftlig den myndighet som har besluttet registrering, med angivelse av begrunnelsen for avslaget.
Den myndighet som har besluttet registrering kan påklage avslaget til Politidirektoratet innen tre uker etter at den ble gjort kjent med avslaget.
Endred ved forkrift 22 sep 2006 Nr. 1087.
§ 1-6.– Tilgang til SIS/bemyndigelse
Tilgang til SIS (rett til direkte søk) skal kun gis til personer som har fått særskilt bemyndigelse. Slik bemyndigelse skal bare gis til kvalifiserte personer som har gjennomgått opplæring. Den registeransvarlige utarbeider retningslinjer om de nærmere kvalifikasjonskravene.
Bemyndigelse gis av riksadvokaten, den stedlige politimester, sjefen for vedkommende særorgan eller lederen for vedkommende utlendings- eller vegmyndighet.
De som har gitt bemyndigelse plikter å gi registeransvarlig melding om at en bemyndigelse er trukket tilbake og hva som er begrunnelsen for dette.
Endret ved forskrift 22 sep 2006 Nr. 1087.
Kapittel 2.- Innsyn
§ 2-1.– Begjæring om innsyn
Begjæring om innsyn kan kun fremsettes av den som er registrert eller eieren av den gjenstand som er registrert. Slik begjæring kan fremsettes uavhengig av om registreringen ble foretatt av norsk myndighet eller annen konvensjonspart.
Begjæring om innsyn kan enten fremsettes for den registeransvarlige eller den myndighet som har besluttet registrering.
Begjæring om innsyn skal være skriftlig og undertegnet.
§ 2-2.– Behandling av innsynsbegjæringer
Begjæringer om innsyn avgjøres i første instans av den registeransvarlige i samsvar med § 15 første og annet ledd i SIS-loven.
Er begjæringen fremsatt for den registeransvarlige skal begjæringen oversendes til den myndighet som har besluttet registrering med anmodning om uttalelse. Er begjæringen fremsatt for den myndighet som har besluttet registrering, skal denne videresende begjæringen til den registeransvarlige med medfølgende uttalelse.
Gjelder innsynsbegjæringen en melding som er lagt inn av en annen konvensjonspart, skal den registeransvarlige gi denne konvensjonspart anledning til å uttale seg før saken avgjøres. Den registeransvarlige er dog ikke bundet av den annen konvensjonsparts anbefaling.
Utover dette gjelder saksbehandlingsreglene i henhold til SIS-loven § 17.
§ 2-3.– Særlig om begrunnelse ved avslag
Dersom innsynsbegjæringen ikke tas til følge fordi søkeren ikke er registrert, eller fordi unntaksbestemmelsen i SIS-loven § 15, annet ledd kommer til anvendelse, skal det alltid gis en alternativ begrunnelse, slik at begrunnelsen ikke tilkjennegir at det foreligger en registrering som det ikke kan gis innsyn i.
Kapittel 3.- Retting og sletting av uriktige opplysninger
§ 3-1.– Begjæring om retting og sletting av uriktige opplysninger
Begjæring om retting og sletting av uriktige opplysninger kan kun fremsettes av den person som er registrert eller eieren av den gjenstand som er registrert. Det er en forutsetning at vedkommende tidligere har fått innsyn i eller underretning om den registreringen begjæringen gjelder. Slik begjæring kan fremsettes uavhengig av om registreringen ble foretatt av norsk myndighet eller annen konvensjonspart.
Begjæringen kan enten fremsettes for den registeransvarlige eller den myndighet som har besluttet registrering.
Begjæringen skal være skriftlig og undertegnet med angivelse av hva feilen består i.
§ 3-2.– Hvilke feil som kan begjæres rettet eller slettet
Den registrerte kan bare kreve retting eller sletting av opplysninger om seg selv eller om gjenstander som vedkommende eier.
Begjæring om retting eller sletting må være begrunnet i at
a) det er registrert uriktige faktiske opplysninger,
b) den registrerte opplysning er ufullstendig, slik at registreringen fremstår som misvisende,
c) registreringen ikke er i samsvar med vilkårene i SIS-loven §§ 5 – 9 eller
d) vedtak eller beslutning som ligger til grunn for registrering er endret eller omgjort.
Begjæring om retting og sletting kan ikke begrunnes med at det hefter feil ved den beslutning som ligger til grunn for registreringen, som f.eks. vedtak om utvisning, beslutning om pågripelse mv. I slike tilfelle skal den som begjærer retting eller sletting henvises til å benytte seg av de klagemuligheter som gjelder på vedkommende område.
§ 3-3.– Behandling av begjæring om retting og sletting
Begjæringer om retting og sletting av uriktige opplysninger avgjøres i første instans av den registeransvarlige.
Er begjæringen fremsatt for den registeransvarlige, skal begjæringen oversendes til den myndighet som har besluttet registrering med anmodning om uttalelse. Er begjæringen fremsatt for den myndighet som har besluttet registrering, skal denne videresende begjæringen til den registeransvarlige med medfølgende uttalelse.
§ 3-4.– Retting og sletting av feil etter begjæring eller av eget tiltak
Dersom der er registrert opplysninger som er uriktige, ufullstendige eller som ikke er i samsvar med SIS-loven, skal den registeransvarlige på begjæring av den registrerte sørge for at opplysningene rettes, suppleres eller slettes. Det samme gjelder dersom den registeransvarlige selv eller annen myndighet oppdager feil eller blir gjort oppmerksom på feilaktige registreringer.
I de tilfellene som nevnt i første ledd skal den registeransvarlige i tillegg så vidt mulig sørge for at feilen ikke får betydning for den registrerte, f.eks. ved å varsle mottakere av utleverte opplysninger med anmodning om tilsvarende retting eller sletting.
§ 3-5.– Fremgangsmåte ved melding lagt inn av annen konvensjonspart
Dersom begjæring om retting eller sletting gjelder en registrering som nevnt i § 3-4 første ledd som er foretatt av en annen konvensjonspart, skal den registeransvarlige uten opphold underrette denne konvensjonsparten med anmodning om å rette, supplere eller slette opplysningene. Det samme gjelder dersom den registeransvarlige selv eller annen myndighet oppdager feil ved registreringen.
Dersom den annen konvensjonspart ikke etterkommer anmodningen, kan den registeransvarlige bringe saken inn for Politidirektoratet som klagesak. Bestemmer Politidirektoratet at opplysningen skal rettes eller slettes, sørger den registeransvarlige for fullbyrdelse av Politidirektoratets beslutning i samsvar med § 7-1, jf. SIS-loven § 24 første ledd. Politidirektoratets avgjørelse er ikke gjenstand for videre klagebehandling.
Endret ved forskrift 22 sep 2006 Nr. 1087.
§ 3-6.– Underretning ved begjæringer om retting og sletting av urikige opplysninger
Dersom begjæring om retting eller sletting ikke etterkommes, skal den registrerte gis underretning om dette med angivelse av begrunnelsen for avslaget.
Dersom begjæringen tas helt eller delvis til følge, skal det gis underretning om at opplysningene er slettet eller hvilke rettelser som ble foretatt. I disse tilfellene skal den registrerte samtidig gjøres oppmerksom på erstatningsreglene i SIS-loven § 18.
Utover dette gjelder saksbehandlingsreglene i henhold til SIS-loven § 17.
Kapittel 4.- Erstatning
§ 4-1.– Krav om erstatning
Krav om erstatning kan kun fremsettes av den registrerte eller eieren av registrert gjenstand som ble påført skade som følge av at opplysninger er registrert eller brukt i strid med reglene for behandling av opplysninger i SIS.
Krav om erstatning kan fremsettes uavhengig av om registreringen ble foretatt av norsk myndighet eller annen konvensjonspart.
Krav om erstatning kan enten fremsettes for den registeransvarlige eller den myndighet som har besluttet registrering.
Krav om erstatning skal være skriftlig og undertegnet med angivelse av skadens art og omfang.
Krav om erstatning må fremsettes senest ett år etter at den skadelidte er blitt kjent med registreringen.
§ 4-2.– Behandling av erstatningskrav
Krav om erstatning avgjøres i første instans av den registeransvarlige i samsvar med § 18 første og annet ledd i SIS-loven.
Er erstatningskravet fremsatt for den registeransvarlige skal saken oversendes til den myndighet som har besluttet registrering med anmodning om uttalelse. Er erstatningskravet fremsatt for den myndighet som har besluttet registrering, skal denne videresende saken til den registeransvarlige med medfølgende uttalelse.
Gjelder erstatningskravet en melding som er lagt inn av en annen konvensjonspart, skal den registeransvarlige gi denne konvensjonspart anledning til å uttale seg før saken avgjøres. Den registeransvarlige er dog ikke bundet av den annen konvensjonsparts anbefaling.
Kapittel 5.- Klagebehandling
§ 5-1.– Klage
Den registrerte eller eieren av en registrert gjenstand kan påklage avgjørelser om innsyn, retting eller sletting og erstatning til Politidirektoratet.
Klagen sendes til Politidirektoratet via den registeransvarlige.
Klagen skal være skriftlig og undertegnet. Klagen skal nevne den beslutning som det klages over og den endring som ønskes i den beslutning det klages over. Klagen bør også nevne de grunner klagen støtter seg til.
Fristen for klage er 3 uker fra det tidspunkt underretning om den registeransvarliges beslutning er kommet frem til den registrerte eller eieren av registrert gjenstand.
Endret ved forskrift 22 sep 2006 Nr. 1087.
§ 5-2.– Nærmere om saksbehandling i klagesaker
Den registeransvarlige undergir klagen forberedende behandling og sender den videre til departementet med medfølgende uttalelse. Den registeransvarlige skal alltid vurdere om klagen gir grunnlag for omgjøring av den registeransvarliges beslutning.
Ved klagebehandling i saker som gjelder innsyn og retting eller sletting av uriktige opplysninger, skal Politidirektoratet forelegge saken for Datatilsynet til uttalelse før klagesaken avgjøres.
I klagesaker som gjelder innsyn har klageren ikke rett til å gjøre seg kjent med sakens dokumenter.
Endret ved forskrift 22 sep 2006 Nr. 1087.
Kapittel 6.- Sletting
§ 6-1.– Generelle bestemmelser
Opplysninger om personer og gjenstander skal slettes når formålet med registreringen er oppnådd. Det samme gjelder dersom den registrerte opplysning ikke lenger kan anses nødvendig for å oppnå formålet eller det av andre grunner ikke lenger anses hensiktsmessig å oppbevare opplysningen.
Den registeransvarlige plikter å etablere rutiner for å sikre at behovet for å slette registrerte opplysninger blir jevnlig vurdert.
§ 6-2.– Sletting av opplysninger om personer registrert i medhold av SIS-loven § 7
Opplysninger om personer som er registrert i medhold av SIS-loven § 7 skal som hovedregel slettes etter tre år. Den registeransvarlige kan deretter for tre år av gangen beslutte fortsatt registrering dersom formålet med registreringen ikke er oppnådd og det anses nødvendig å oppbevare opplysningen for å oppnå formålet med registreringen.
Opplysninger som er registrert i medhold av SIS-loven § 7 Nr. 1 skal senest slettes når det straffbare forhold som ligger til grunn for registreringen er foreldet.
§ 6-3.– Sletting av opplysninger om personer og kjøretøyer registrert i medhold av SIS-loven § 8
Opplysninger om personer og kjøretøyer som er registrert i medhold av SIS-loven § 8 skal som hovedregel slettes etter ett år. Den registeransvarlige kan beslutte fortsatt registrering dersom formålet med registreringen ikke er oppnådd og den registeransvarlige finner det nødvendig å oppbevare opplysningen for å oppnå formålet med registreringen.
§ 6-4.– (Opphevet ved forskrift 22 sep 2006 Nr. 1087.)
Kapittel 7.- Internkontroll og informasjonssikkerhet
§ 7-1.– Internkontroll
Den registeransvarlige og databehandleren (øvrige myndighetene som har tilgang til SIS) skal etablere og holde vedlike planlagte systematiske tiltak (internkontroll) som er nødvendig for å oppfylle kravene i SIS-loven og bestemmelser gitt i medhold av SIS-loven.
Tiltakene skal særlig legge vekt på å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger i SIS. Tiltakene skal stå i forhold til sannsynligheten for og konsekvensene av sikkerhetsbrudd.
Med konfidensialitet menes beskyttelse mot utilsiktet innsyn, med tilgjengelighet menes tilsiktet innsyn, og med integritet menes beskyttelse mot utilsiktet endring.
§ 7-2.– Pålegg om sikring av opplysninger i SIS
Datatilsynet kan gi pålegg om sikring av opplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av opplysninger.
§ 7-3.– Sikkerhetsledelse
Den registeransvarlige og lederen av de myndigheter som har direkte tilgang til SIS har ansvar for at bestemmelsene i dette kapittelet følges.
Formålet med behandling av opplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål.
Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi.
Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat.
Resultat fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og -strategi.
§ 7-4.– Risikovurdering
Ved endringer som har betydning for informasjonssikkerheten skal risikovurdering gjennomføres for å klarlegge sannsynligheten for, og konsekvenser av sikkerhetsbrudd.
Resultat fra risikovurdering skal sammenlignes med fastlagte kriterier for akseptabel risiko forbundet med behandlingen av opplysninger.
Resultat av risikovurdering skal dokumenteres.
§ 7-5.– Sikkerhetsrevisjon
Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig.
Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonsparter og leverandører.
Dersom sikkerhetsrevisjon avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik jf. § 7-6.
Resultat fra sikkerhetsrevisjon skal dokumenteres.
§ 7-6.– Avvik
Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik.
Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse.
Dersom avviket har medført uautorisert utlevering av opplysninger hvor konfidensialitet er nødvendig, eller ved mistanke om slik utlevering, skal Datatilsynet varsles.
Resultat fra avviksbehandling skal dokumenteres.
§ 7-7.– Organisering
Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet.
Ansvars- og myndighetsforhold skal dokumenteres og ikke endres uten autorisasjon fra daglige leder hos den registeransvarlige eller hos de myndigheter som har tilgang til SIS.
Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås.
Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den registeransvarliges daglige leder.
Bruk av informasjonssystemet som har betydning for informasjonssikkerheten, skal utføres i henhold til fastlagte rutiner.
§ 7-8.– Personell
Medarbeidere hos den registeransvarlige og hos de myndigheter som har tilgang til SIS skal kun bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk, jf. § 1-6.
Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt.
All bruk av informasjonssystemet skal registreres.
§ 7-9.– Taushetsplikt
Medarbeidere hos den registeransvarlige og hos myndigheter som har tilgang til SIS skal pålegges taushetsplikt for opplysninger i SIS. Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten.
§ 7-10.– Fysisk sikring
Det skal treffes tiltak mot uautorisert adgang til utstyr benyttet for behandling av opplysninger etter denne forskriften.
Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr med betydning for informasjonssikkerheten.
Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av opplysninger.
§ 7-11.– Sikring av konfidensialitet
Det skal treffes tiltak mot uautorisert innsyn i opplysninger i SIS
Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten.
Lagringsmedium som inneholder opplysninger fra SIS, skal merkes slik at behovet for konfidensialitet fremgår.
Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet.
§ 7-12.– Sikring av tilgjengelighet
Det skal treffes tiltak for å sikre tilgang til opplysninger hvor tilgjengelighet er nødvendig.
Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for informasjonssikkerheten.
Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk.
Det skal opprettes kopier av opplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk.
§ 7-13.– Sikring av integritet
Det skal treffes tiltak mot uautorisert endring av opplysninger i SIS der integritet er nødvendig.
Sikkerhetstiltakene skal også hindre uautorisert endring av annen informasjon med betydning for informasjonssikkerheten.
Det skal treffes tiltak mot ødeleggende programvare.
§ 7-14.– Sikkerhetstiltak
Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet, og gjøre det mulig å oppdage forsøk på slik bruk.
Forsøk på uautorisert bruk av informasjonssystemet skal registreres.
Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre.
Hver overføring av personopplysninger skal registreres for å kunne kontrollere om søkene er tillatt eller ikke. Registreringen kan bare brukes for dette formål og slettes tidligst etter ett år og senest etter tre år.
Sikkerhetstiltak skal dokumenteres.
Endret ved forskrift 22 sep 2006 Nr. 1087.
§ 7-15.– Sikkerhet hos andre virksomheter
Den registeransvarlige eller de myndigheter som har tilgang til SIS skal bare overføre opplysninger elektronisk til kommunikasjonsparter som tilfredsstiller kravene i dette kapittelet.
Leverandører som gjennomfører sikkerhetstiltak eller annen bruk av informasjonssystemet, på vegne av den registeransvarlige, skal tilfredsstille kravene i dette kapittelet.
Den registeransvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonsparter og leverandører. Ansvars- og myndighetsforhold skal beskrives i særskilt avtale eller instruks.
Den registeransvarlige skal ha kunnskap om sikkerhetsstrategien hos slike virksomheter, og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet som resultat.
§ 7-16.– Dokumentasjon
Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres.
Dokumentasjon skal lagres i minimum 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave.
Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minimum 3 måneder. Registreringer av alle hendelser med betydning for informasjonssikkerheten skal lagres i minimum 3 måneder.
Kapittel 8.- Sluttbestemmelser
§ 8-1.– Ikrafttredelse
Forskriften trer i kraft 1. januar 2001.