Skriftlig spørsmål fra Birgit Oline Kjerstad (SV) til digitaliserings- og forvaltningsministeren

Dokument nr. 15:1408 (2024-2025)
Innlevert: 26.02.2025
Sendt: 27.02.2025
Besvart: 06.03.2025 av digitaliserings- og forvaltningsminister Karianne O. Tung

Birgit Oline Kjerstad (SV)

Spørsmål

Birgit Oline Kjerstad (SV): Kva vil ministeren gjere for å sikre at drifta av offentlege tenester og offentleg forvaltning er i tråd med personvernlovgjevinga dersom USA bryt sin del av Transatlantic Data Privacy Framework-avtalen med EU?

Begrunnelse

27. januar avsette president Donald Trump dei tre Demokratiske representantane i organet Privacy and Civil Liberties Oversight Board, og lot vere å innsette ein ny representant i eitt av dei ledige seta til Republikanerne. Konsekvensen av dette er at organet ikke lenger har nokon fullverdig representasjon, og at organet ikkje kan gjere jobben sin. Dette gjer at det også er uvisse om dette organet vil vere politisk uavhengig i tida framover. Dette organet er garantisten for oppfylgjing av personvernet i dataavtalen mellom USA og Europa på amerikanske digitale plattformer, og dermed også mellom Norge og USA. Utan eit uavhengig Privacy and Civil Liberties Oversight Board, så er avtalen om datautveksling broten. Kva som skjer med organet er uklart, men dersom avtalen ikkje lenger er gyldig, så vil bruk av amerikanske digitale løysinger som gir tilgang til personopplysninger, være i strid med norsk og europeisk personvernlovgivning (GDPR).
Google, Microsoft og andre amerikanske selskap vil kunne vere ulovlege å bruke for alle som handsamar personopplysninger på grunn av dei politiske grepa Trump-administrasjonen har teke for å fjerne reguleringer. Dette gjelder nesten all offentleg forvaltning og dei fleste offentlege tenestene i Norge.

Karianne O. Tung (A)

Svar

Karianne O. Tung: Personvernrammeavtalen (Data Privacy Framework) er en avtale mellom EU og USA, som danner grunnlaget for en såkalt adekvansbeslutning fra EU-kommisjonen (som Norge har sluttet seg til). Denne avtalen gjør det mulig å overføre personopplysninger ut av EØSområdet til virksomheter i USA som har forpliktet seg til å behandle personopplysninger i henhold til avtalen. Avtalen gir ett mulig overføringsgrunnlag, men det er også andre mulige overføringsgrunnlag etter personvernforordningen. Det vil derfor kunne være mulig å overføre personopplysninger til USA, også hvis personvernrammeavtalen skulle falle bort.
Alle virksomheter, både offentlige og private, har selv ansvar for å oppfylle kravene i personvernregelverket. Dette følger av ansvarsprinsippet i personvernforordningen. Virksomhetene har også ansvar for å påse at de har et gyldig rettslig grunnlag for å overføre personopplysninger ut av EØS-området dersom dette er aktuelt. Jeg forventer at alle virksomheter tar dette ansvaret på alvor.
EU-kommisjonen har i adekvansbeslutningen for USA trukket frem betydningen av Privacy and Civil Liberties Oversight Board (PCLOB) sin rolle for å påse at enkeltpersoners rettigheter ikke blir krenket når personopplysninger overføres til amerikanske virksomheter. På nåværende tidspunkt er ikke PCLOB beslutningsdyktig. Nyere informasjon fra Datatilsynet viser imidlertid at intensjonen er å utpeke nye styremedlemmer i PCLOB, og at organet likevel kan utføre noen av oppgavene sine i påvente av at det utnevnes nye styremedlemmer.
Adekvansbeslutningen for USA gjelder fortsatt. Det er opp til EU-kommisjonen å vurdere om endringer i PCLOB gir grunnlag for å revurdere dataavtalen mellom EU og USA. Etter råd fra Datatilsynet bør alle virksomheter ha en strategi for hva de skal gjøre, dersom personopplysninger ikke lenger kan overføres til USA etter den samme avtalen som i dag. Jeg forventer at virksomheter i offentlig sektor har særlig oppmerksomhet rettet mot dette. Virksomhetene kan søke råd hos Datatilsynet, dersom de har behov for veiledning om overføring av personopplysninger til USA. Jeg følger dessuten utviklingen tett med sikte på å følge opp eventuelle utfordringer som kan oppstå.