Kriminalomsorgen fikk kritikk for slett behandling av personopplysninger i forbindelse med straffegjennomføring

«Kontrollen viser at plasseringen av behandlingsansvaret har vært uklar, og at internkontrollen har vært mangelfull», skriver Datatilsynet etter omfattende tilsyn i 2021 og 2022.

«Kontrollen viser at plasseringen av behandlingsansvaret har vært uklar, og at internkontrollen har vært mangelfull. Datatilsynet har på bakgrunn av tilsynsrapporten truffet vedtak der KDI pålegges å sørge for at det etableres klare ansvars- og myndighetsforhold», skriver Datatilsynet.

Datatilsynet gjennomførte tilsyn med Kriminalomsorgen i perioden november 2021 til april 2022.

- I dette tilsynet har Datatilsynet særlig fokusert på behandling av personopplysninger i forbindelse med straffegjennomføring, sier seniorrådgiver Maren Vaagan i en pressemelding.

- Manglende opplæring og kultur for personopplysningssikkerhet

Kriminalomsorgen behandler en stor mengde personopplysninger, blant annet om varetektsfengslede, domfelte, pårørende og fornærmede, i tillegg til personopplysninger om egne ansatte og andre som utfører tjenester for kriminalomsorgen.

Datatilsynets kontroll avdekket avvik fra regelverket både hva gjelder ansvarsplassering og rutiner ved internkontroll.

- Det meldes få avvik fra personvernregelverket i eksisterende avvikssystem, og vårt inntrykk er at dette kan skyldes manglende opplæring og kultur for personopplysningssikkerhet i organisasjonen, sier Vaagan.

Underveis i tilsynet laget Kriminalomsorgsdirektoratet (KDI) en instruks som plasserer hele behandlingsansvaret hos direktoratet.

- Etter å ha gjennomført tilsyn ved de underliggende enhetene er det vår vurdering at instruksen ikke er implementert fullt ut i organisasjonen.

Datatilsynet påpeker videre at kriminalomsorgens behandling av personopplysninger reguleres av ulike regler.

- Datatilsynet mener det er grunn til å anta at et komplekst og fragmentert regelverk har gjort det vanskelig å forstå hvilke regler som gjelder, og at dette har hatt betydning for etatens etterlevelse av personvernreglene, sier Vaagan.

Hele kontrollrapporten kan leses her!

12 overtredelsesgebyrer

Totalt har Datatilsynet registrert 17 såkalte sentrale avgjørelser for 2022, ifølge tilsynets årsrapport. En av dem er pålegget mot kriminalomsorgen.

I 12 av sakene ble det ilagt overtredelsesgebyrer.

  • Datatilsynet vedtok gebyr på 150.000 kr til Vestfold oljeservice AS for å ha foretatt en kredittvurdering av en person uten rettslig grunnlag.
  • Datatilsynet sendte vedtak om pålegg og overtredelsesgebyr på 200.000 kroner til Recover AS. Saken gjaldt kredittvurdering uten rettslig grunnlag.
  • Krokatjønnveien 15 AS fikk et overtredelsesgebyr på 300.000 kroner for to kredittvurderinger uten rettslig grunnlag. Selskapet fikk også pålegg om å lage skriftlige rutiner for kredittvurderinger.
  • Høsten 2020 ble Stortinget utsatt for datainnbrudd, og Datatilsynet varslet i januar 2021 et gebyr på to millioner kroner for manglende sikkerhetsnivå. I 2022 ble det fattet vedtak om at det varslede gebyret ble opprettholdt.
  • NAV fikk et overtredelsesgebyr på fem millioner kroner for tilgjengeliggjøring av CV-er på tjenesten arbeidsplassen.no uten hjemmel i lov.
  • Datatilsynet fattet vedtak om overtredelsesgebyr på fem millioner kroner til Trumf, fordi Trumf-medlemmer kunne registrere andres kontonummer på medlemsprofilen og dermed skaffe seg tilgang til andres handlehistorikk.
  • Datatilsynet ga Arbeidstilsynet et overtredelsesgebyr på 150.000 kroner for å ha kredittvurdert en person uten hjemmel. Arbeidstilsynet fikk også irettesettelse for manglende innsyn.
  • Datatilsynet vedtok å gi et overtredelsesgebyr på 100.000 kr til en virksomhet for brudd på arbeidslovens e-postforskrift om innsyn i e-postkasse og personvernforordningens krav til rettslig grunnlag og plikt til å gi informasjon. Virksomheten ble også pålagt å utbedre egne rutiner.
  • Lillestrøm kommune fikk et overtredelsesgebyr på 300.000 kroner for brudd på personvernforordningens krav til konfidensialitet.
  • Etterforsker1 Gruppen AS (Etterforsker1) fikk et overtredelsesgebyr på 50.000 kroner for å ha kredittvurdert en person uten rettslig grunnlag.
  • Østre Toten kommune fikk et overtredelsesgebyr på fire millioner kroner. Kommunen ble også pålagt å implementere et egnet styringssystem for informasjonssikkerhet og personopplysningssikkerhet.
  • Elektro & Automasjon Systemer AS fikk et overtredelsesgebyr på 200.000 kroner for å ha kredittvurdert en person uten rettslig grunnlag.

Datatilsynet 2022

  • Datatilsynet fattet 301 enkeltvedtaket.
  • I 22 tilfeller ble sakene sendt videre til Personvernnemnda for klage­behandling.
  • Totalt fattet Personvernnemnda 19 vedtak i løpet av 2022.
  • Datatilsynet utstedte 37 irettesettelser.

Kilde: Datatilsynets årsrapport 2022

Powered by Labrador CMS