14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet



Like dokumenter
Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet

Vedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune

Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De Grønne - MDG

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Hendelsen ble oppdaget av SVs IT-leverandør, Unicornis. Serveren for medlemsregisteret befinner seg i et hostingsenter.

Vedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive personopplysninger på Internett

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg og overtredelsesgebyr - Publisering av sensitive personopplysninger på offentlig postjournal - Årdal kommune

Deres referanse Vår referanse Dato / /EOL

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Vår referanse (bes oppgitt ved svar)

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Vedtak om overtredelsesgebyr - Utlevering av sensitive personopplysninger på Internett - Os kommune

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Endelig Kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Foreløpig kontrollrapport

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Vedtak om pålegg - endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Endelig kontrollrapport

Internkontroll og informasjonssikkerhet lover og standarder

Vår referanse (bes oppgitt ved svar)

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Endelig kontrollrapport

Endelig kontrollrapport

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Endelig kontrollrapport

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Endelig kontrollrapport

Endelig kontrollrapport

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Endelig kontrollrapport

Norges vassdrags- og energidirektorat. Internkontroll og reaksjonsmidler Jon Arne Eie

25 APR 50,3. Datatilsynet ~+~ 0ffl0/L? 70~~?5. Vedtak om pålegg - overtredelsesgebyr til Sykehuset Innlandet HF

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Endelig kontrollrapport

Konkurransetilsynet. Nærings- og Handelsdepartementet Postboks 8014 Dep 0030 OSLO. 1 Bakgrunn

Vår referanse (bes oppgitt ved svar)

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS

Pålegg om stans av behandling av personopplysninger - Gator AS

Fylkesmannens overprøving av vedtak om overtredelsesgebyr. rådgiver Ane Karine Lillevoll

Vedtak om pålegg kameraovervåking hos Move treningssenter

Endelig kontrollrapport

Saksnr. Arkivkode Avd/Sek/Saksb Deres ref. Dato. 12/923-4 GNR 36/7 PUE/ADM/JAPE

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Transkript:

Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Den 30. april 2014 gjennomførte Datatilsynet en kontroll hos Eigersund kommune. Kontrollen skjedde med hjemmel i lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) 42 tredje ledd nr. 3. Alle henvisninger til lovhjemler i kontrollrapporten er knyttet til personopplysningsloven og dens forskrifter. Andre henvisninger til lovhjemler er nevnt særskilt. Eigersund kommune fikk oversendt varsel om vedtak i brev av 18. desember 2014. Innledningsvis vil Datatilsynet gi sine kommentarer til kommunens tilsvar av 18. mars 2015. Generelle kommentarer Datatilsynet ønsker innledningsvis å uttrykke tilfredshet med at kommunen deler vårt utgangspunkt i at det er en allmenn forventning at en offentlig virksomhet følger de lover og regler som er pålagt. Vi beklager at saksbehandlingen har tatt unødvendig lang tid, og stiller oss til rådigheten for råd og veiledning i forbindelse med den prosess kommunen er inne i sammen med andre samarbeidende kommuner. Som sagt i vårt varsel av 18. desember 2014 var det ved denne kontrollen vanskelig å få et tydelig bilde av hva som var årsaken til at det ikke var laget tilstrekkelige dokumenterte rutiner i henhold til personopplysningsloven. I sitt tilsvar fremholder kommunen at det faktum at all dokumentasjon av internkontrollsystemet ikke er i samme dokument ikke i seg selv er i strid med 14. Dette er i og for seg riktig, men at man har noe dokumentasjon trenger heller ikke nødvendigvis bety at internkontrollen er tilstrekkelig og at den tilfredsstiller lov og forskrift. Ved manglende systematikk i dokumentasjonen vil det være vanskelig for tilsynsmyndigheten å gjøre en god dokumentkontroll og dertil like vanskelig å godtgjøre om dokumentasjonen er god nok. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO

Overtredelsesgebyr Bruk av overtredelsesgebyr for brudd på personopplysningsloven med forskrift er et sanksjonsmiddel Datatilsynet tok i bruk i 2009. Helt bevisst har vi fra tilsynets side valgt en gradvis utvikling i bruken av dette sanksjonsmiddelet, der vi i den senere tid har benyttet dette i økende grad. Vi har hatt et stort antall kontroller hos en rekke forskjellige offentlige virksomheter, med til dels betydelige avvik. Vi har i disse sakene fattet flere vedtak, uten at dette har hatt den allmennpreventive virkning både vi og lovgiver hadde ønsket. Derfor har vi sett oss nødt til å bruke overtredelsesgebyr i økende grad, for å søke ytterligere regelverksetterlevelse også hos offentlige virksomheter. Offentlige virksomheter er det man kan kalle storforbrukere av personopplysninger. Kommunen vil behandle betydelig mengder personopplysninger, som også vil være av sensitiv karakter. Dette omfatter lovpålagte oppgaver med behandling av personopplysninger som den registrerte er pliktig å gi fra seg. Nettopp derfor er det viktig at det er gode rutiner for behandling av opplysningene. Dette sammen med økt digitalisering betinger god internkontroll og god informasjonssikkerhet. Offentlige virksomheter og myndigheter har generelt sett stor tillit hos sine brukere og befolkningen generelt. Avdekking av at disse ikke følger egne lover og forskrifter kan være ødeleggende for denne nødvendige tillit. Datatilsynet finner det fremdeles nødvendig med en streng reaksjon, både knyttet til de konkrete avvik og av allmennpreventive hensyn. Etter en ny vurdering har vi kommet til at det varslede gebyr på kr. 250.000,- var satt noe høyt. Datatilsynet har derfor satt gebyret til kr. 150.000,-. Vi mener dette er tilstrekkelig for å ivareta de hensyn vi har nevnt ovenfor. Om internkontrollplikten Personopplysningsloven i seg selv legger ansvaret for behandling av personopplysninger på virksomheter for den behandling de foretar. Loven regulerer ikke bare hvem som er behandlingsansvarlig, men gir også nærmere pålegg om hvordan behandlingsansvaret skal ivaretas. Plikten til å etablere internkontroll er krav til den behandlingsansvarlige som gjennom planlagte og systematiske tiltak skal sette seg selv i stand til å sikre, kontrollere og dokumentere at virksomheten til enhver tid etterlever personopplysningslovens bestemmelser. Et internkontrollsystem skal tilpasses den enkelte virksomhet, utfra type virksomhet, størrelse og behandlingen(e)s art og omfang, jf forskriften 3-1. Internkontrollplikten innebærer at den behandlingsansvarlige skal ha kjennskap til gjeldende regler om behandling av personopplysninger, og ha dokumenterte rutiner for oppfyllelse av plikter og rettigheter etter personopplysningsregelverket. Internkontrollplikten er først overholdt når rutinene er implementert, slik at de i praksis ligger til grunn for virksomhetens behandling av personopplysninger. Kommunens tilbakemelding Når det gjelder de vedtakene som ikke omhandler overtredelsesgebyret, velger vi å ikke kommentere disse, da kommunen har tatt påleggene til etterretning. 2

Vedtak om pålegg 1. Eigersund kommune pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 14, jf. personopplysningsforskriften 3-1 å etablere, dokumentere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven (internkontroll): a) rutiner for ivaretakelse av enhvers (borgerens) krav om innsyn i kommunens behandlinger, jf. 18 første ledd, og den registrertes rett til innsyn i egne opplysninger etter 18 andre ledd, jf. 14 og forskriften 3-1 tredje ledd bokstav d). Se kontrollrapportens pkt. 6.1.4.1. b) rutiner for ivaretakelse av den registrertes rett til informasjon etter 19 og 20, jf. 14 jf. forskriften 3-1 tredje ledd bokstav d). Se kontrollrapportens 6.1.4. 2. c) rutiner for retting og sletting, i samsvar med 27 og 28, jf. 14 jf. forskriften 3-1 tredje ledd bokstav c). Se kontrollrapportens pkt. 6.1.4.3. d) rutiner for oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt etter 31-33, jf. 14 jf. forskriften 3-1 tredje ledd bokstav f). Se kontrollrapportens pkt. 6.1.4.4. 2. Eigersund kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 14 og 13 jf. forskriften 2-4 første ledd å utarbeide en oversikt over behandlinger av personopplysninger som viser hvilke personopplysninger som behandles, formålet med behandlingen og lovgrunnlaget. Det vises til kontrollrapportens pkt. 6.1.3. 3. Eigersund kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13 jf. forskriften 2-3 å danne rammer for sikkerhetsarbeidet ved at det etableres sikkerhetsmål og strategi. Det vises til kontrollrapportens pkt. 6.2.1. 4. Eigersund kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13 jf. forskriften 2-7 å etablere et behandlingsansvar som synliggjøres i organisasjonen. Se kontrollrapportens pkt. 6.1.2. 5. Eigersund kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13 jf. forskriften 2-7 å dokumentere sikkerhetsorganisasjonen. Se kontrollrapportens pkt. 6.2.1. 6. Eigersund kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13 jf. forskriften 2-4 og 2-15 å gjennomføre risikovurdering for all behandling av personopplysninger. Se kontrollrapportens pkt. 6.2.2. 7. Eigersund kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13 jf. forskriften 2-5 å etablere rutiner for sikkerhetsrevisjon. Se kontrollrapportens pkt. 6.2.3. 8. Eigersund kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13 jf. forskriften 2-11, 2-12, 2-13 og 2-14 å innføre og dokumentere sikkerhetstiltak. Se kontrollrapportens pkt. 6.2.5. 3

9. Eigersund kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13 jf. forskriften 2-8 å etablere rutiner for og gjennomføre opplæring av ansatte for sikker bruk av informasjonssystemet. Se kontrollrapportens pkt. 6.2.6. 10. Eigersund kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13 jf. forskriften 15 og 13 jf. forskriften 2-15 å etablere og oppdatere avtaler med sine databehandlere slik at de oppfyller kravene til en databehandleravtale. Se kontrollrapportens pkt. 6.3. Vedtak om ileggelse av overtredelsesgebyr Eigersund kommune pålegges i medhold av personopplysningslovens 46, første ledd, jf. 13 og 14 å betale et overtredelsesgebyr til statskassen, stort kroner 150.000 etthundreogfemtitusen, for å ha behandlet personopplysninger uten å etablere dokumenterbare og tilfredsstillende tiltak for å sikre at behandlingen skjer i tråd med personopplysningslovens bestemmelser(internkontroll) og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen. Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. 47a. Vurdering av overtredelsesgebyr Adgangen til å ilegge overtredelsesgebyr er gitt som et virkemiddel for å sikre effektiv etterlevelse og håndhevelse av personopplysningsloven. Internrettslig er overtredelsesgebyr ikke å anse som en straff, men en administrativ sanksjon. Det må imidlertid antas at overtredelsesgebyr er å anse som straff etter EMK (den europeiske menneskerettighetskonvensjonen) art 6, og i samsvar med Høyesteretts praksis, jf. Rt. 2012 side 1556 med videre henvisninger, legger derfor Datatilsynet til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge gebyr. Saksforholdet og spørsmålet om å ilegge overtredelsesgebyr er vurdert med utgangspunkt i dette beviskravet. Ved vurderingen om det skal ilegges et overtredelsgebyr er det lagt vekt på at internkontroll er en nødvendig forutsetning for at den behandlingsansvarlige skal kunne forsikre seg om, og løpende kontrollere at virksomheten til enhver tid følger personopplysningslovens bestemmelser. Datatilsynet mener unnlatelsen av å etablere internkontroll og derigjennom manglende dokumenterte rutiner er et betydelig avvik og må ansees alvorlig i forhold til de interesser loven verner, jfr. 46, andre ledd bokstav a). Forventningen om at et offentlig organ setter seg grundig inn i personopplysningsregelverket og etablerer gode rutiner for å sikre etterlevelsen av det har betydning for vurderingen av skyldgraden etter 46, andre ledd bokstav b). Det kan her vises til at Eigersund kommune behandler sensitive personopplysninger i store deler av sin virksomhet. At de på kontrolltidspunktet ikke kunne vise at de hadde rutiner for dette vektlegger vi i skjerpende retning, både når det gjelder vurderingen av om gebyr skal ilegges og ved utmåling. 4

Datatilsynet har også lagt vekt på at mangelfull internkontroll og lovstridig praksis øker risikoen betydelig for negative konsekvenser for de registrerte. Kontrollen avdekker også at det ikke er foretatt noen risikovurdering i henhold til forskriften 2-4.Plikten etter denne bestemmelsen er også et uttrykk for en interesse loven verner, jf. 46 andre ledd bokstav a), og brudd på plikten er et argument for ileggelse av overtredelsesgebyr. At risikovurderingene ikke er dokumentert gjør det i tillegg tilnærmet umulig for tilsynsmyndigheten å føre den kontroll som følger av loven. Uten noen form for skriftlighet er det umulig å stadfeste om virksomheten i tilstrekkelig grad har vurdert risiko for sin egen behandling av personopplysninger. Kravet om at internkontrollen skal være dokumentert og systematisk er også viktig for å sette den behandlingsansvarlige være i stand til å implementere rutiner. I tillegg til at det er en legal plikt til å dokumentere tiltakene er det etter vår oppfatning også av avgjørende betydning for å sikre at rutiner kan gjenfinnes og kommuniseres enhetlig internt i en organisasjon i tillegg til overfor tilsynsmyndigheten. Det fragmenterte bildet som kommunen fremviste har klare mangler både når det gjelder systematikk, dokumentasjon og evne til å bevise at de er implementert i organisasjonen. Vi kan ikke påvise gjentakelse direkte i og med at dette er første gang dette påpekes overfor kommunen, jf. 46, fjerde ledd bokstav f), men at forholdet har vart i mange år vurderes som skjerpende i relasjon til graden av skyld, jf. bokstav b). Manglene er av en slik art og omfang at det medfører etter vår oppfatning en uholdbar risiko for at kommunen i praksis har brutt og fremdeles bryter andre helt sentrale bestemmelser i personopplysningsloven, uten at dette kan oppdages av virksomheten selv eller tilsynsmyndigheten. Mangelen er av den grunn også skjerpende i vurderingen av om overtredelsesgebyr skal ilegges jf. 46, andre ledd bokstav c) hvor det skal vektlegges om retningslinjer m.v. kunne forebygget overtredelsen. Overtrederens økonomiske evne er det i liten grad lagt vekt på, jf. 46, fjerde ledd bokstav h) Gebyrets størrelse Når det gjelder gebyrets størrelse, skal de samme momenter som ved vurdering av om gebyr skal ilegges, tillegges særlig vekt. De forhold Datatilsynet har pekt på ovenfor taler for et gebyr av en viss størrelse. Gebyret bør settes så høyt at det får virkning også utover den konkrete saken. Samtidig må gebyrets størrelse stå i et rimelig forhold til overtredelsens karakter og virksomhetens behandling av personopplysninger. Store mangler ved internkontrollsystemet karakteriseres som et alvorlig avvik og taler for en streng reaksjon. Det er i denne saken, som nevnt over, vanskelig å vurdere om kommunen har rutiner som er egnet til å ivareta personvernet til de som er registrert på grunn av manglende dokumenterbare rutiner. 5

Datatilsynet har gjennom flere kontroller erfart at statlige og kommunale institusjoner har store mangler i sine plikter til å ha internkontrollsystem. Ileggelsen av overtredelsesgebyr vil derfor ha en allmennpreventiv hensikt. Det er viktig at etater og institusjoner som håndterer opplysninger om befolkningen har gode systemer internt som sikrer at de tildelte rettigheter som borgerne har ikke blir neglisjert. Etter en vurdering av alvorligheten i overtredelsen har vi kommet til at et overtredelsesgebyr på 150.000 anses passende. Frist for gjennomføring av påleggene Datatilsynet gir frist for gjennomføring av pålegget/ene til 1. november 2015. Kommunen må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at Eigersund kommune har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Bjørn Erik Thon direktør Knut-Brede Kaspersen fagdirektør Vedlegg: Endelig kontrollrapport 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding