Skriftleg spørsmål fra Sigbjørn Gjelsvik (Sp) til samferdselsministeren

Dokument nr. 15:186 (2019-2020)
Innlevert: 28.10.2019
Sendt: 29.10.2019
Svart på: 08.11.2019 av samferdselsminister Jon Georg Dale

Sigbjørn Gjelsvik (Sp)

Spørsmål

Sigbjørn Gjelsvik (Sp): Mener statsråden det er akseptabelt at persondata fra norske bilister havner i Kina, og hva vil statsråden foreta seg for å sørge for at så ikke skjer?

Grunngiving

I følge NRK 28. oktober har bomselskapet Ferde basert seg på kinesisk arbeidskraft for å kreve inn bompenger fra bilistene og at mye av jobben blir utført i Kina. Opplysningen som sendes til Kina er blant annet bilde av biler med registreringsnummer fra bompasseringer. Datatilsynet har varslet at de ser alvorlig på NRKs avsløring, at det kan være ulovlig og at:

"det er knyttet større risiko til å behandle data i et annet land der vi har mindre kontroll."

I forbindelse med fremleggelse av PSTs årlige trusselvurdering, uttalte PST-sjef Benedicte Bjørnland til NRK 4. februar i år at:

«Vi peker på to land vi ikke har et sikkerhetspolitisk samarbeid med, og som driver etterretning mot Norge og norske interesser. Det er Russland og Kina. Begge har cyberkapabiliteter som setter dem i stand til å etterrette og stjele informasjon fra Norge i cyberdomenet.»

PST-sjefen viste videre til at Kina har en etterretningslov som pålegger både private virksomheter og enkeltpersoner å samarbeide med kinesiske myndigheter dersom de blir bedt om det.

Jon Georg Dale (FrP)

Svar

Jon Georg Dale: Det er i utgangspunktet ikkje forbode å setje ut tenester som inneber handsaming av personopplysningar til selskap i Kina, eller andre land utanfor Noreg eller EØS. Etter gjeldande personopplysningslov er det stilt strenge krav til behandlingsansvarlege, slik som bompengeselskap, som sender personopplysningar til land utanfor EØS. Etter personopplysningsloven blir det mellom anna stilt krav om ei grundig risikovurdering og at ein har på plass avtalar som sikrar ei forsvarleg handsaming av personopplysningane i medhald av norsk rett, jf. personvernforordninga som gjeld i EU/EØS. Dette er også Datatilsynet heilt klare på i dei første kommentarane til saka.
I denne saka må vi fyrst få klarleik i kva opplysningar dette gjeld og om det er persondata som er sendt ut av landet. Deretter må dei instansane som har som oppgåve å følgje med på at personvernregelverket blir etterlevd og at bomselskapa driv verksemda si i samsvar med inngåtte avtalar, få rom til å gjere jobben sin. Dette er først og fremst selskapet sjølv, men også fylkeskommunane som er eigarar av selskapet og Datatilsynet som er tilsynsmyndigheit.
Fylkeskommunane som er eigarar av selskapet kan og skal føre kontroll med selskap som ein del av sin eigarskapskontroll, jf. kommuneloven § 23-4, jf. § 23-3. Kontrollføresegnene etter kommuneloven gir fylkeskommunane moglegheit til å gå inn i selskapets interne drift og føre kontroll med at selskapet utøver oppgåver i medhald av gjeldande lover/forskrifter.
Datatilsynet er tilsynsmyndigheita i Noreg som fører kontroll med at personopplysningsloven blir etterlevd. Datatilsynet har i sine kommentarar til saka opplyst at dei vil innhente informasjon frå bompengeselskapet. Eventuelle brot på personopplysingsloven vil bli følgt opp av Datatilsynet innanfor dei fullmaktene som tilsynet har. Ansvaret med å følgje opp at dei regionale bompengeselskapa etterlev vikåra i bompengeavtalen, har Samferdselsdepartementet delegert til Statens vegvesen. Alvorlege brot på personvernregelverket kan også vere et brot på bompengeavtalen, jf. avtalen punkt 18. Statens vegvesen har i denne samanheng innhenta opplysningar i saka om korleis desse tenestekjøpa har vore handsama.
Eg vil følgje tett med på det vidare arbeidet som Datatilsynet og Statens vegvesen gjer i denne saka.