Skriftlig spørsmål fra Ingvild Wetrhus Thorsvik (V) til kommunal- og distriktsministeren

Dokument nr. 15:3061 (2021-2022)
Innlevert: 30.09.2022
Sendt: 03.10.2022
Besvart: 10.10.2022 av kommunal- og distriktsminister Sigbjørn Gjelsvik

Ingvild Wetrhus Thorsvik (V)

Spørsmål

Ingvild Wetrhus Thorsvik (V): Hvordan vil statsråden følge opp eventuelle feil og mangler i Digdir og DFØs veileder om overføring av personopplysninger til tredjeland?

Begrunnelse

Som en følge av Schrems II-dommen ble det satt i gang et felles koordineringsarbeid for å sikre at de juridiske og praktiske utfordringer offentlige virksomheter står overfor tilnærmes på lik måte. Digitaliseringsdirektoratet og Direktoratet for forvaltning og økonomistyring har nå utarbeidet og publisert en veileder om bruk av skytjenester etter Schrems II på oppdrag fra Skate.
Noen av punktene i veilederen strider mot veiledning fra fag- og tilsynsmyndighetene på feltet, Datatilsynet og EUs Personvernråd. Både Datatilsynet og Digdir opplyser i en felles uttalelse at de har fått mange henvendelser om veilederen og at flere opplyser at den har skapt usikkerhet, da det er uklart hvilke regler som gjelder.
Offentlige virksomheter som forvalter innbyggernes data og som følger Digdirs veileder, risikerer nå å bruke offentlige midler på skyløsninger som er ulovlige, samt at de kan få pålegg og bøter fra Datatilsynet.
Enkelte virksomheter opplyser at de opplever at Digdir og DFØ tolker seg bort fra GDPR og gjør det lettere å sende innbyggernes personopplysninger til tredjeland, noe som også utgjør en stor samfunnsmessig risiko. Offentlige virksomheters behandling av personopplysninger må skje innenfor dagens regler, og da er det svært uheldig dersom direktorater gir veiledning som kan være villedende.

Sigbjørn Gjelsvik (Sp)

Svar

Sigbjørn Gjelsvik: Regjeringa er opptatt av gode og trygge reglar knytt til lagring og handsaming av person-opplysningar. Etter gjeldande reglar kan ein i utgangspunktet lagre og handsame norske personopplysningar i heile EØS-området og i godkjende 3. land. Tidlegare kunne ein òg lagre og handsame personopplysningar i USA under ordninga «EU-US Privacy shield». Etter ein dom i EU-domstolen i 2020 (den såkalla «Schrems II-dommen») som kjende «EU-US Privacy shield» ugyldig, er mange verksemder – både offentlege og private – usikre på kva som er lov når det gjeld overføring av personopplysningar til USA. EU og USA forhandlar om ein ny avtale, men dette tek tid.
Mange offentlege verksemder har dei same utfordringane og treng å gjere dei same vurderingane knytt til rettsleg grunnlag ved bruk av skytenester. Difor valde ein å etablere ei felles arbeidsgruppe for å sjå om ein kunne samarbeide om å finne «beste praksis» for slike vurderingar. 29 offentlege verksemder har tatt del i arbeidet, som har vore leia av Digitaliseringsdirektoratet. Resultatet frå arbeidet i gruppa er ei rettleiing som er publisert på DFØ sine nettsider.
Rettleiaren frå arbeidsgruppa tar utgangspunkt i rettleiarane frå Datatilsynet og EU sitt personvernråd EDPB, men arbeidsgruppa har ønskt å vere meir konkret i si tilnærming. Formålet har vore å bygge bru mellom Datatilsynet og EDPB sine rettleiingar, og det behovet verksemdene har for praktiske eksempel og konkrete råd, slik at dei kan gjere sine eigne vurderingar.
Det er rett, som representanten Thorsvik skriv, at det er nokre område der rettleiinga frå arbeidsgruppa går lenger i vurderingane enn Datatilsynet og EDPB. Dette har enkelte opplevd som uklart. Eg er opptatt av at det skal vere tydeleg kva reglar som gjeld og korleis desse skal praktiserast. Datatilsynet, DFØ og Digitaliseringsdirektoratet arbeider saman for å klargjere desse områda.
Eg er trygg på at både Datatilsynet, Digitaliseringsdirektoratet og DFØ har same mål i denne saka, nemleg å gje verksemdene best mogleg rettleiing i eit svært komplisert regelverk, for å unngå risiko for feilbehandling av norske personopplysningar.