Vedtak om pålegg - endelig kontrollrapport

Like dokumenter
Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar)

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vår referanse (bes oppgitt ved svar)

Deres referanse Vår referanse Dato / /EOL

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Kontroll av reseptformidleren endelig kontrollrapport

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Høring Forslag til endringer i utlendingsforskriften Adgang til å ta lyd- og bildeopptak av asylregistreringen

Deres referanse Vår referanse (bes oppgitt ved svar) Dato /MAL 09/ /CBR 10. mars 2009

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Deres ref Vår ref (bes oppgitt ved svar) Dato

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Vi viser til brev av 7. november 2016 fra Barne- og likestillingsdepartementet hvor NOU 2016:16 Ny barnevernslov sendes ut på høring.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Vedtak om pålegg kameraovervåking hos Move treningssenter

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Endelig Kontrollrapport

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Endelig kontrollrapport

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Vår referanse (bes oppgitt ved svar)

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Deres referanse Vår referanse Dato 15/ /JSK

Postadresse Kontoradresse Telefon* Universitets- og

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

OVERSENDELSE OLJE- OG ENERGIDEPARTEMENTETS SAKSBEHANDLING OG OPPTREDEN VED VALG AV MODELL FOR INNSAMLING AV SEISMISKE DATA I BARENTSHAVET SØRØST

Høring av forslag til endringer i opplæringsloven og privatskoleloven

Vår referanse (bes oppgitt ved svar)

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

5-7fiSDEPARTEMENT. 23 N11117nng. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO. Avp/K0N-rfpc14: / ". Obk NR ARKIVK-UDE:

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Vår referanse (bes oppgitt ved svar)

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Fylkesmannen stadfestet kommunens avslag i vedtak av

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Foreløpig kontrollrapport

12/ / /JSK 7.

1 Innledning og kort oppsummering

TILSYNSRAPPORT. Tilsyn med Inderøy kommune som barnehagemyndighet. Tema: Kommunalt tilskudd til private barnehager rettslige krav til vedtak

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

TILSYNSRAPPORT. Forvaltningskompetanse avgjørelser om særskilt tilrettelegging. Orkdal kommune Orkanger barneskole og Orkanger ungdomsskole

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet

Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Svar på spørsmål om kapittel 9 A i opplæringsloven

Vår ref. (bes oppgitt ved svar) 06/ AFL 28. juni 2006 HØRING - FORSKRIFT OM EIENDOMSREGISTRERING

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

Transkript:

Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/01455-9 /CBR 25. januar 2008 Vedtak om pålegg - endelig kontrollrapport Det vises til Datatilsynets kontroll den 13. november 2007, Datatilsynets foreløpige kontrollrapport av 7. desember 2007 og varsel om vedtak av 11. desember 2007. Datatilsynet har i brev av 18. januar 2008, med presiseringer i e-post av 25. januar 2008, mottatt Kriminalomsorgens Sentralforvaltnings (KSF) merknader til den foreløpige kontrollrapporten og varsel om vedtak. Endelig kontrollrapport Med bakgrunn i den foreløpige kontrollrapporten, og KSFs merknader til denne, har Datatilsynet utarbeidet en endelig kontrollrapport. Denne følger vedlagt. Merknadene behandles i det følgende: Korrigeringer av faktiske feil i tilsynets foreløpige rapport Datatilsynet har rettet opp i de feil og unøyaktigheter som er påpekt. Til 4 Kort om behandling av personopplysninger i Kompis, samt formålet med behandlingene Datatilsynet tar til etterretning at KSF vil konkretisere formålsangivelsen. Dette punktet i Datatilsynets foreløpige kontrollrapport er gjort endelig. Til 4.1 Opplysninger om innsatte Datatilsynet tar til etterretning at KSF pr i dag ikke har en uttømmende oversikt over hvilke opplysninger som behandles i Kompis, og at KSF vil gi nærmere retningslinjer for blant annet hvilke opplysninger som skal registreres i fritekstfeltene. Den endelige rapporten avviker noe fra den forløpige kontrollrapporten på dette punktet. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO

Til 4.2 Opplysninger om pårørende og besøkende Datatilsynet tar til etterretning at opplysningene om pårørende og besøkende ikke er søkbare, og at det normalt ikke registreres navn på barn av de innsatte. Den endelige rapporten avviker noe fra den forløpige kontrollrapporten på dette punktet. Til 5 og 6.1 Innsatt pr nummer I Datatilsynets foreløpige kontrollrapport anbefaler tilsynet at KSF straks foretar undersøkelser ved de andre anstaltene hvor manglende saksbehandlingssystem kan ha ført til fremveksten av lignende registre, og eventuelt sørger for å ta kontroll på disse registrene. Datatilsynet tar til etterretning at KSF i tiden etter kontrolleren har avdekket at praksisen med denne type registre er utbredt ved de fleste av anstaltene. Datatilsynet forstår tilsvaret dit hen at KSF ikke har innsigelser til tilsynets kontrollrapport vedrørende Innsatt pr nummer og tilvarende registre. Videre forstår Datatilsynet at KSF ikke bestrider at praksisen med Innsatt pr nummer og tilsvarende registre må opphøre. Dette punktet i Datatilsynets foreløpige kontrollrapport er gjort endelig. I Datatilsynets varsel om vedtak heter det at disse registrene må opphøre umiddelbart. KSF ber imidlertid om at gjennomføringen av pålegget får utstå til et elektronisk dokumentbehandlingssystem er implementert. I henhold til Overordnet tiltaksplan skal dokumentbehandlingssystemet være ferdig utredet i mai 2009. Det er imidlertid uklart når systemet endelig blir implementert. Datatilsynet tar til etterretning at KSF har iverksatt visse tiltak for å bedre informasjonssikkerheten rundt opplysningene i disse registrene. Blant annet er det opprettet avdelingsmapper, med tilgang kun for avdelingens ansatte, samt jurister og fangesakskonsulenter ved anstalten. Tilsynet vil imidlertid bemerke at tiltakene ikke fullt ut tilfredsstiller personopplysningslovens krav til informasjonssikkerhet. Blant annet mangler sikring av integritet og logging. Datatilsynet kan vanskelig akseptere en fortsatt behandling av personopplysninger som skjer i strid med personopplysningslovens krav, utover en rimelig frist for gjennomføring av pålegget. Ved vurderingen av hva som er rimelig må personverntrusselen ved fortsatt behandling vektes mot nødvendigheten. I tilsvaret skriver KSF at Før slike registre eventuelt kan slettes, må vi sikre oss at nødvendig informasjon blir lagret, enten i saksmappen til den enkelte innsatte eller på annen betryggende måte. Begrunnelsen er blant annet hensynet til den enkeltes rettssikkerhet, da nødvendig dokumentasjon av enkeltvedtak kan foreligge kun elektronisk i slike registre. Det er noe uklart hva KSF her sikter til. Datatilsynet legger til grunn at KSF løpende journalfører og arkiverer saksdokumenter i tråd med arkivlov- og forskrift, og til enhver tid har et oppdatert og fullstendig arkiv som tilfredsstiller arkivmyndighetenes krav. Dokumentasjonshensyn kan etter tilsynets vurdering således ikke tilsi en hel eller delvis videreføring av disse registrene heller ikke i en overgangsperiode. Etter hva Datatilsynet erfarer vil disse registrene uansett ikke oppfylle gjeldende standard for elektroniske arkivsystemer. 2 av 7

Heller ikke hensynet til en effektiv saksbehandling vil etter Datatilsynets vurdering være et formål som tilsier at registrene skal videreføres i strid med personopplysningsloven. Det faktum at det er ressursbesparende å behandle personopplysningene i disse registrene, sett i forhold til å bruke de papirbaserte saksmappene, vil etter tilsynets vurdering ikke gi grunnlag for å behandle opplysningene i strid med personopplysningslovens bestemmelser om blant annet informasjonssikkerhet. I møte mellom KSF og Datatilsynet 15. januar 2008 fremkom det at registrene også blir brukt til å gi de ansatte ved fengslene rask tilgang til informasjon av betydning for de innsattes og ansattes liv og helse. Dette gjelder etter hva Datatilsynet forstår blant annet opplysninger om de innsattes fysiske og psykiske helsetilstand. Datatilsynet ser at det er nødvendig for de ansatte som til enhver tid er på vakt å ha tilgang til disse opplysningene, om de innsatte som vedkommende arbeider med. For at det skal være på det rene at denne elektroniske behandlingen er nødvendig må imidlertid KSF utrede om opplysningene kan formidles tilfredsstillende på en annen og mindre personverntruende måte, for eksempel muntlig i forbindelse med vaktskifte. Datatilsynet forutsetter uansett at behandlingen for øvrig skjer i henhold til personopplysningslovens bestemmelser, herunder at opplysningene slettes så snart forutsetningene for å registrere opplysningene faller bort og at det etableres informasjonssikkerhet i den utstrekning det faktisk er mulig. Datatilsynet forutsetter videre at ordningen er midlertidig, i påvente av nytt dokumentbehandlingssystem. Datatilsynets vedtak vedrørende dette avviker noe fra tilsynets varsel om vedtak. Til pkt 6.2 Behandlingsansvar I den foreløpige kontrollrapporten anbefaler Datatilsynet at KSF revurderer plasseringen av behandlingsansvaret. Datatilsynet tar til etterretning at KSF vil gjennomgå ansvarsforholdene etter at Regjeringen har lagt frem Melding om kriminalomsorgen for Stortinget. Dette punktet i Datatilsynets foreløpige kontrollrapport er gjort endelig. Til pkt 6.3 Behandlingsgrunnlag og 6.4 Konsesjonsplikt I den foreløpige kontrollrapporten la Datatilsynet til grunn at KSF sin behandling av personopplysninger krever lovhjemmel. Tilsynet la videre til grunn at straffegjennomføringsloven ikke gir tilstrekkelig hjemmel for den behandling av personopplysninger som skjer i anstaltene, herunder i Kompis. Datatilsynet forstår KSF sitt tilsvar dit hen at man ikke bestrider at behandlingen må lovhjemles, men anfører at straffegjennomføringsloven gir tilstrekkelig hjemmel. I tilsvaret heter det om dette at Mange av oppgavene vil utvilsomt forutsette behandling av svært sensitive personopplysninger. Vi mener derfor det er åpenbart at Stortinget har lagt dette til grunn ved vedtakelse av loven. Datatilsynet bestrider ikke at en implisitt lovhjemmel til å behandle personopplysninger etter omstendighetene vil kunne være et gyldig behandlingsgrunnlag. Tilsynet er imidlertid av den oppfatning at en implisitt lovhjemmel ikke nødvendigvis er å anse som en lov etter personopplysningslovens bestemmelser, og særlig ikke etter 9 litra b. Datatilsynet vil i den forbindelse peke på personopplysningslovens 8. I tillegg til lovhjemmel opererer man her med et alternativt behandlingsgrunnlag i litra e, hvoretter behandlingen kan gjennomføres når 3 av 7

det er nødvendig for å utøve offentlig myndighet. Datatilsynet forstår det slik at implisitte lovhjemler i stor utstrekning vil falle inn under dette alternativet, og ikke nødvendigvis vil tilfredsstille kravet til selvstendig lovhjemmel, selv etter 8. Et tilsvarende alternativt behandlingsgrunnlag foreligger ikke etter personopplysningslovens 9. Dette må anses å være et utslag av at hjemmelskravet skjerpes i henhold til legalitetsprinsippet, for behandling av sensitive personopplysninger. Det å la implisitte lovhjemler falle inn under lovbegrepet i 9 litra b, vil etter Datatilsynets vurdering uthule legalitetsprinsippet. Det skal dessuten bemerkes at all offentlig myndighetsutøvelse vil være lovhjemlet. I tillegg vil offentlig myndighetsutøvelse som hovedregel forutsette en behandling av personopplysninger. Den forståelse som KSF legger til grunn vil i sin ytterste konsekvens derfor kunne medføre at offentlige myndigheter aldri vil ha behov for eksplisitte lovhjemler for sin behandlinger, selv etter personopplysningslovens 9. Datatilsynet er av den oppfatning at behandling av personopplysninger i forbindelse med forvaltningens løpende saksbehandling står i en særstilling, og vil kunne være å anse som lovhjemlet etter 9 litra b, selv om behandlingen kun følger implisitt ( Utredning av behov for endringer i personopplysningsloven, Schartum/Bygrave 2006, s. 82 og 83). Behandlingen av personopplysningene i denne forbindelse er dessuten delvis regulert i andre lover, som forvaltningslov, offentlighetslov og arkivlov. Datatilsynet bestrider således ikke at den saksbehandlingen som gjennomføres i henhold til straffegjennomføringslovens bestemmelser må anses å være hjemlet i straffegjennomføringsloven. Datatilsynet har derfor heller ikke hatt merknader til behandlingsgrunnlaget for behandlingen av personopplysninger i forbindelse med saksbehandlingen i anstaltene, som sådan. Datatilsynets kontroll avdekket imidlertid at Kompis i praksis ikke er egnet for saksbehandlingsformål, særlig på grunn av manglende tekstbehandlingsfunksjonalitet og fordi sakens fulltekstdokumenter ikke ligger tilgjengelig. I henhold til de ansatte som Datatilsynet hadde intervju med foregikk derfor saksbehandlingen hovedsakelig i innsatt pr nummer og/eller de manuelle saksmappene. Den registrering og sammenstilling av personopplysninger som skjer i Kompis kan derfor ikke i sin helhet sies å være nødvendig for den saksbehandlingen som skjer ved anstaltene. For Datatilsynet er det etter dette uklart hva som eventuelt er formålet med behandlingen av personopplysninger i Kompis. I henhold til personopplysningslovens 11 litra b skal formålet med behandlingen være uttrykkelig angitt. Datatilsynet tar til etterretning at KSF nå vil arbeide med å konkretisere formålet med sin behandling av personopplysninger, også i Kompis. Når formålet er identifisert og konkretisert, må legaliteten for dette vurderes. Det skal i den forbindelse bemerkes at Datatilsynet av den oppfatning at opprettelse av nasjonale registre med sensitive personopplysninger, uansett formål, bør reguleres i en egen lov eller forskrift ( registerlov ). Det vises i den forbindelse til den praksis som har utviklet seg med opprettelse av blant annet egen helseregisterlovgivning og det pågående arbeid med ny politiregisterlovgivning. Datatilsynet kan ikke se at kriminalomsorgens nasjonale register, med svært sensitive og omfattende personopplysninger om innsatte og tidligere innsatte, her stiller seg prinsipielt annerledes enn ovennevnte registre. Det skal bemerkes at egen 4 av 7

lovgivning er ansett å være nødvendig på disse områdende, til tross for at det også her må sies å være forutsatt at myndighetene skal behandle sensitive personopplysninger. Den endelige rapporten er presisert noe på dette punktet. I tilsvaret ber KSF om at spørsmålet om behandlingsgrunnlag og konsesjonsplikt eventuelt behandles i et eget vedtak. Datatilsynet kan ikke se hvilke grunner som taler for at tilsynssaken skal deles på denne måten. Det er naturlig for Datatilsynet å behandle de funn som er gjort i forbindelse med tilsynets kontroll under ett. Tilsynet finner å fatte vedtak i tråd med varselet. Til pkt 6.5 Ivaretakelse av den registrertes rettigheter Datatilsynet tar til etterretning at KSF ikke har merknader til den foreløpige kontrollrapporten på dette punktet. Dette punktet i Datatilsynets foreløpige kontrollrapport er gjort endelig. Til pkt 6.6 Internkontroll Datatilsynet tar til etterretning at KSF har igangsatt et arbeide for å implementere internkontroll i kriminalomsorgen. Datatilsynet har gjort enkelte presiseringer i den endelige rapporten. Til pkt 6.7 Systematisk tilnærming til informasjonssikkerhet Datatilsynet tar til etterretning at KSF vil foreta en helhetlig gjennomgang av Kvalitetssystem for Informasjonssikkerhet (KIS) i løpet av inneværende år. Dette punktet i Datatilsynets foreløpige kontrollrapport er gjort endelig. Til pkt 6.8 Konfidensialitetssikring tilgang og logger Datatilsynet tar til etterretning de merknader KSF har gitt i sitt tilsvar og i e-post av 25. januar 2008. Datatilsynet har gjort enkelte presiseringer i den endelige rapporten. Til pkt 6.9 Risikovurderinger Datatilsynet tar til etterretning at KSF vil gjennomføre en risikovurdering i løpet av 2008, og innføre det som en fast aktivitet. Dette punktet i Datatilsynets foreløpige kontrollrapport er gjort endelig. Til 6.10 Den behandlingsansvarliges opplysningsplikt overfor Datatilsynet Datatilsynet tar til etterretning at KSF har igangsatt et arbeide for å kartlegge egne behandlinger av personopplysninger og å utrede hvilke plikter som påhviler KSF i henhold til personopplysningslovens bestemmelser. Tilsynet tar til etterretning at KSF også vil gjennomføre opplæring av egne ansatte om gjeldende regelverk. Dette punktet i Datatilsynets foreløpige kontrollrapport er gjort endelig. Av hensyn til at saken også berører Riksarkivets og Sivilombudsmannens kompetanseområder, er en kopi av foreliggende vedtak og kontrollrapport oversendt disse til orientering. 5 av 7

Vedtak Med bakgrunn i Datatilsynets endelige kontrollrapport, og med hjemmel i personopplysningslovens 46, fatter Datatilsynet følgende vedtak: 1. Kriminalomsorgens Sentralforvaltning må sørge for at registeret innsatt pr nummer, og eventuelle andre tilsvarende lokale registre, umiddelbart blir brakt til opphør, jf kontrollrapportens kapittel 5 og pkt 6.1. Dette gjelder allikevel ikke for opplysninger som det er nødvendig, av hensyn til de innsattes og de ansattes liv og helse, at de ansatte har umiddelbar tilgang til. Det forutsettes at opplysningene slettes fra registeret når behovet faller bort. Det forutsettes videre at personopplysningslovens krav til blant annet informasjonssikkerhet ivaretas ved behandlingen, så langt det er mulig. 2. Kriminalomsorgens Sentralforvaltning må iverksette nødvendige tiltak for å etablere et rettslig grunnlag for behandlingen av opplysningene i Kompis, i samsvar med personopplysningsloven 11 litra a jf 9, jf kontrollrapportens pkt 6.3. Frist for gjennomføring er satt til utgangen av august 2008. 3. Kriminalomsorgens Sentralforvaltning må gi tilstrekkelig informasjon til alle registrerte, i samsvar med personopplysningslovens 19 og 20, jf kontrollrapportens pkt 6.5. Frist for gjennomføring er satt til utgangen av april 2008. 4. Kriminalomsorgens Sentralforvaltning må på forespørsel gi innsyn til de registrerte, i samsvar med personopplysningslovens 18 jf 23, jf kontrollrapportens pkt 6.5. Frist for gjennomføring er satt til utgangen av april 2008. 5. Kriminalomsorgens Sentralforvaltning må sørge for at opplysninger rettes i samsvar med personopplysningslovens 27. Frist for gjennomføring er satt til utgangen av desember 2008. 6. Kriminalomsorgens Sentralforvaltning må slette opplysninger, i samsvar med personopplysningslovens 11 litra e jf 28, jf kontrollrapportens pkt 6.5. Frist for gjennomføring er satt til utgangen av desember 2008. 7. Kriminalomsorgens Sentralforvaltning må etablere et interkontrollsystem, i samsvar med personopplysningslovens 14 jf personopplysningsforskriftens kapittel 3, jf kontrollrapportens pkt 6.6. Frist for gjennomføring er satt til utgangen av desember 2008. 8. Kriminalomsorgens Sentralforvaltning må etablerere tilfredstillende informasjonssikkerhet i samsvar med personopplysningsloven 13 og nærmere bestemmelser i personopplysningsforskriftens kapittel 2, jf kontrollrapportens pkt 6.7, 6.8 og 6.9. Samlet frist for gjennomføring er satt til utgangen av desember 2008. Datatilsynet har lagt til grunn KSF sin overordnede tiltaksplan ved fastsettelse av frister for gjennomføring av de ulike pålegg. Dette gjelder allikevel ikke pkt 2. Det bemerkes her at 6 av 7

fristen er knyttet til iverksettelse av tiltak for å sørge for at det etableres et behandlingsgrunnlag, ikke selve etableringen av et nytt behandlingsgrunnlag. Datatilsynet imøteser en mer detaljert tiltaksplan innen 1. mars 2008. Klageadgang Dette vedtaket kan påklages til Personvernnemnda, i henhold til forvaltningslovens bestemmelser. Eventuell klage må oversendes Datatilsynet innen tre uker fra De mottok dette brevet. Med hilsen Leif T. Aanensen avdelingsdirektør Vedlegg: Endelig kontrollrapport Cecilie L. B. Rønnevik seniorrådgiver Kopi: Sivilombudsmannen, postboks 3, 0101 OSLO Riksarkivet, postboks 4013 Ullevål stadion, 0806 OSLO 7 av 7

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding