Skriftlig spørsmål fra Hadia Tajik (A) til justis- og beredskapsministeren

Dokument nr. 15:587 (2014-2015)
Innlevert: 11.02.2015
Sendt: 12.02.2015
Besvart: 17.02.2015 av justis- og beredskapsminister Anders Anundsen

Hadia Tajik (A)

Spørsmål

Hadia Tajik (A): Kva konkrete planar har regjeringa for å sikre at andre statar ikkje vert gjeve tilgang til å hente inn data frå norske nettbrukarar, utover det som er avtalte prosedyrar for utlevering av data mellom land, og vil justis- og beredskapsministaren, som sin finske kollega, støtte Irland i arbeidet mot utlevering av europeisk e-post til amerikanske myndigheiter frå eit datasenter i Irland?

Begrunnelse

Minister Dara Murphy T.D i Irland ba i fjor EU-kommisjonen om støtte knyta til det som vert kalla NY Warrant Case. Det er ei rettssak i USA som er knytt til ei tvist om amerikanske myndigheiter har rett til å hente inn data utanfor landet. Konkret gjeld saka utlevering av e-post lagra i Microsoft sitt datasenter (skyteneste) i Dublin, i samband med ei straffesak. Saka reiser viktige prinsipielle spørsmål om grensesnittet mellom USA og EU sine lovar om vern av data. Saka er anka. Utfallet av saka vil kunne få store konsekvensar for folks person- og rettsvern i EU og Noreg. Anna-Maja Henriksson, den finske justisministaren, sendte i fjor eit brev til EU kommisjonen ved Ms Vera Jourová, Commissioner for Justice, Consumers and Gender Equality. I brevet skriv den finske justisministaren at ho er særleg uroa for dei potensielt alvorlege konsekvensane utfallet av saka kan få for EU. Henrikssen viser til at direkte tilgang til data lagra i EU vil omgå gjeldande prosedyrar for utlevering av data mellom land, såkalla Mutual Legal Assistance Treaties (MLA). Ho meiner at dette er eit svært grunnleggjande spørsmål med omsyn til vern av data i EU. Det er viktig å sikre folks tillit til teknologi no og i framtida. Arbeidet mot kriminalitet må ikkje gå på akkord med demokratiske verdiar som personvern.

Anders Anundsen (FrP)

Svar

Anders Anundsen: Saken i det amerikanske rettssystemet som stortingsrepresentanten viser til, har sin bakgrunn i at amerikanske myndigheter utstedte en rettslig ransakelsesordre hvor Microsoft ble beordret til å utlevere informasjon knyttet til en konkret e-post konto. Microsoft nektet å etterkomme denne, da informasjonen var lagret utenfor amerikansk territorium, nærmere bestemt hos et datterselskap i Irland. Microsoft har i to rettsinstanser blitt pålagt å utlevere informasjonen direkte til amerikanske myndigheter, uavhengig av hva slags lover Microsoft er underlagt innenfor EU og i Irland. Dommen er anket og således ikke rettskraftig. Den 15. januar 2015 tok en rekke selskaper ut stevning til støtte for Microsoft, herunder Apple, Amazon, Cisco, eBay, Verizon, US Chamber of Commerce, the National Association of Manufacturers, ABC, CNN, Fox News og the Guardian.
Hovedregelen om overføring av data fra Norge til utlandet er at personopplysninger kan overføres til land som sikrer en «forsvarlig behandling» av opplysningene, jf. personopplysningsloven § 29. Stater som har gjennomført EUs personverndirektiv (95/46/EF) oppfyller per definisjon kravet til forsvarlig behandling. For andre stater kreves en konkret vurdering av vernenivået før data tillates overført. Det eksisterer i dag en rekke avtaler mellom EU og ikke-medlemmer, herunder USA, om utlevering av data, for eksempel «Safe harbour», Passenger Name Records (PNR), Terrorist Finance Tracking Programme (TFTP) og Mutual Legal Assistance (MLA). Konsekvensene dersom den påankede dommen blir stående, er at det ses bort fra allerede eksisterende avtaler om utlevering av data til USA, og dommen utfordrer derfor i praksis andre staters juridiske suverenitet i det digitale rom. Det kan ikke utelukkes at amerikanskeide og -kontrollerte selskaper etablert i Europa vil kunne bli fanget mellom EUs personverndirektiv og medlemsstatenes personvernregelverk på den ene siden og amerikansk lovgivning på den andre. Særlig har det knyttet seg usikkerhet til de «grenseløse» skylagringstjenestene.
Det diskuteres nå i EU om nytt personvernregelverk kan klargjøre situasjonen rundt overføringer av data til USA. EU-kommisjonen har foreslått at en generell forordning om behandling av personopplysninger skal erstatte gjeldende personverndirektiv. Justis- og beredskapsdepartementet deltar i forhandlingene om regelverket i Rådets arbeidsgruppe for personvern, DAPIX. Europaparlamentet har foreslått at kommisjonens forslag til bestemmelse om virkeområde for ny forordning utvides med følgende markerte tillegg:

«Article 3: Territorial Scope
1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, whether the processing takes place in the Union or not.»

Hensikten er å fastslå at ikke-europeiske selskaper som velger å operere i det europeiske markedet, skal forholde seg til europeiske personvernregler. Den 27. november 2013 presenterte dessuten EU-kommisjonen ytterligere tiltak for å styrke tilliten til at EU-borgeres personvern er sikret ved dataoverføring fra EU til USA (http://europa.eu/rapid/press-release_MEMO-13-1059_en.htm).
Jeg følger saken nøye. Den endelige vurderingen av hvilke eventuelle konkrete tiltak som bør igangsettes for å sikre norske nettbrukere, må avvente til rettskraftig dom foreligger og EUs arbeid med personvernforordningen ferdigstilles.