Skriftlig spørsmål fra Arne Sortevik (FrP) til fornyings- og administrasjonsministeren

Dokument nr. 15:100 (2008-2009)
Innlevert: 17.10.2008
Sendt: 17.10.2008
Besvart: 23.10.2008 av fornyings- og administrasjonsminister Heidi Grande Røys

Arne Sortevik (FrP)

Spørsmål

Arne Sortevik (FrP): Ifølge opplysninger i Aftenposten 16.10.2008 lagrer en av hurtigmatkjedene kredittkortopplysninger fra kundene i tre år. Datatilsynet reagerer på praksisen og frykter at flere virksomheter lagrer store mengder kredittkort-informasjon i interne databaser. Datatilsynet frykter at databasene kan bli tappet eller at kortopplysninger på annen måte kan komme på avveier.
Hva vil statsråden gjøre for å innskjerpe og ev. endre lov- og regelverk slik at kreditkortopplysninger ikke lagres unødig etter at transaksjonen er utført?

Heidi Grande Røys (SV)

Svar

Heidi Grande Røys: Jeg viser til brev 16. oktober 2008 vedrørende næringsdrivendes lagring av kredittkortopplysninger, og ev. personvernulemper dette måtte medføre for kundene. Bakgrunn for saken er oppslag i pressen som følge av klager Datatilsynet har mottatt fra kunder hos en pizzaleverandør som lagrer kredittkortnummer i flere år etter avsluttet transaksjon. Den konkrete saken er ennå ikke avsluttet hos Datatilsynet.
Det er sentralt i personvernsammenheng å begrense mengden personopplysninger som behandles til det som faktisk er nødvendig for den enkelte behandlingsansvarlige. Næringsdrivende skal ikke behandle personopplysninger som ikke er nødvendige for virksomheten som drives. Dette følger direkte av personopplysningsloven, og en behandling av unødvendige personopplysninger, er en behandling i strid med loven.
I en del sammenhenger er det spesialregelverk som pålegger lagring av personopplysninger en viss tid ut over det konkrete behovet den behandlingsansvarlige har. Eksempler her er bokføringsloven og regnskapsloven, som har regler for hvor lenge opplysninger knyttet til ulike typer transaksjoner skal lagres. Lagringstiden er begrunnet i kontrollformål. Dette regelverket tilligger det Finansdepartementet med underliggende etater å tolke.
Jeg er svært oppmerksom på de utfordringer som ligger i at næringsdrivende har plikt til å lagre en del personopplysninger for dokumentasjons- og kontrollformål. Det er viktig at de sektorspesifikke myndighetene gir næringslivet god informasjon om de plikter de har til å oppbevare personopplysninger, så som transaksjonsdata, for kontrollformål, og til å slette de samme opplysningene når formålet er oppfylt. Selv om det eksisterer plikt til å lagre personopplysninger for fremtidige kontrollformål, er det av stor betydning at de behandlingsansvarlige har etablerte rutiner og systemer for å slette opplysninger når det ikke lenger er saklig behov for lagring. Slike rutiner vil være et uttrykk for en bevisst holdning til personvernspørsmål.
Det er også viktig at de næringsdrivende selv iverksetter gode tiltak for å ivareta informasjonssikkerheten knyttet til behandlingene, slik at opplysningene behandles på en betryggende måte den tid de lagres. På dette området driver Datatilsynet et viktig informasjonsarbeid. Regnskaps- og bokføringsregelverket er komplisert, og i den grad det viser seg nødvendig, vil jeg ta kontakt med finansministeren med tanke på å etablere klarhet i de regler og plikter som gjelder, og få gjort disse bedre kjent for næringslivet.
Jeg er kjent med at også Datatilsynet er svært opptatt av problemstillinger knyttet til lagring av personopplysninger ut over den tid som er nødvendig for å oppnå selve innsamlingsformålet. Deres erfaring er at det er et økende press på langvarig lagring av personopplysninger for ulike kontrollformål. Erfaring viser dessverre også at mange behandlingsansvarlige har mangelfulle sletterutiner.
Medio desember skal Personvernkommisjonen levere sin rapport der de skal gjøre rede for de personvernutfordringer de ser i dagens samfunn. Det er ikke nå mulig å foregripe hva Personvernkommisjonen ev. vil ha å si om akkurat dette temaet. Mitt departement vil uansett ha fokus på dette temaet og vil dersom det viser seg påkrevd, se nærmere på regler og rutiner for sletting av personopplysninger, med særlig fokus på pliktene som følger av regnskaps- og bokføringsregelverket. Det kan også være aktuelt å se nærmere på den informasjonen som gis om dette regelverket, for å sikre at det kommuniseres på en god måte i de rette kanaler.