Skriftlig spørsmål fra Birgit Oline Kjerstad (SV) til digitaliserings- og forvaltningsministeren

Dokument nr. 15:2671 (2023-2024)
Innlevert: 01.09.2024
Sendt: 02.09.2024
Besvart: 06.09.2024 av digitaliserings- og forvaltningsminister Karianne O. Tung

Birgit Oline Kjerstad (SV)

Spørsmål

Birgit Oline Kjerstad (SV): Det nederlandske datatilsynet (DPA) har nyleg gitt taxiselskapet Uber ei bot på 290 millionar euro for å ha overført personinformasjon om europeiske sjåførar ulovleg til USA.
Kva blir gjort for å kontrollere at teknologiselskap ikkje bryt reglar for overføring av personopplysninger her i landet?

Begrunnelse

26. august melde TV2 at det nederlandske Datatilsynet har gitt taxiselskapet Uber 290 millionar euro i bot. Uber har fått bota fordi selskapet i ein periode på to år skal ha delt data om drosjelisenser, stadsdata, id-papir, betalingsinformasjon og i nokre tilfelle også informasjon om kriminell og medisinsk historie til sjåførane med amerikanske servarar. Styrleiar i det nederlandske datatilsynet seier at det som har skjedd er svært alvorleg, og at det som har skjdd er eit brot på EUs personvernforordning (GDPR).

Karianne O. Tung (A)

Svar

Karianne O. Tung: Personopplysningsloven gjennomfører EUs personvernforordning (GDPR) i norsk rett og regulerer overføring av personopplysninger til land utenfor EU/EØS-området. Det er det norske Datatilsynet som fører tilsyn med overføring av personopplysninger fra virksomheter som er etablert i Norge. Datatilsynet velger selv hvilke virksomheter og personopplysningsbehandlinger de skal føre tilsyn med, og prioriterer tilsyn ut fra en risikovurdering. Elementer i risikovurderingen kan for eksempel være hvilket land opplysninger overføres til, hvilken type personopplysninger overføringen omfatter og hvor mange personer som potensielt er berørt.
Dersom et selskap driver virksomhet her i Norge, men har sin europeiske hovedetablering i et annet EØS-land, er det datatilsynsmyndigheten i dette landet som fører tilsyn med og kontrollerer ev. overføring av personopplysninger fra selskapet til land utenfor EØS-området. Datatilsynet deltar i det europeiske datatilsynssamarbeidet og i European Data Protection Board (EDPB). Gjennom dette organet kan Datatilsynet påvirke tolkning og håndheving av personvernregelverket overfor selskaper som driver virksomhet i Norge, men som har sin hovedetablering i et annet EØS-land. Jeg er derfor glad for at Datatilsynet deltar aktivt i dette samarbeidet.