Vedtak om overtredelsesgebyr til Indre Østfold kommune

Datatilsynet har vedtatt å gi Indre Østfold kommune et overtredelsesgebyr på 200 000 kroner for brudd på konfidensialitet. Personopplysninger som skulle vært skjermet ble gjort tilgjengelig for uvedkommende.

Indre Østfold kommune, tidligere Askim kommune, publiserte elevmappen til en tidligere elev på kommunens nettside. Elevmappen inneholdt personopplysninger som er underlagt taushetsplikt.

Fikk tips fra lokalavis

Utgangspunktet for hendelsen var at eleven trengte elevmappen i studiesammenheng, og derfor ba kommunen sende den over. Kommunen har som rutine at innsynsbegjæringer journalføres. Det innebærer at også det dokumentet som det er begjært innsyn i blir skannet og gjort tilgjengelig for innsyn.

Elevmappen lå tilgjengelig på kommunens nettside fra fredag 27. september til mandag 30. september. Kommunen ble gjort oppmerksom på saken av en journalist i lokalavisen Smaalenenes Avis. Dokumentene ble fjernet fra postlisten og unntatt offentlighet umiddelbart etter at de ble oppdaget. Deretter ble den berørte varslet.

Overtredelsesgebyret endres ikke

Etter at Datatilsynet sendte varsel om overtredelsesgebyr fikk vi en tilbakemelding fra kommunen. Her beklager de at «personsensitive opplysninger» ble lagt ut på postlisten. Kommunen ba samtidig Datatilsynet vurdere størrelsen på gebyret i lys av de tiltakene som ble innført i ettertid.

Et overtredelsesgebyr skal gjenspeile alvorlighetsgraden av den aktuelle lovovertredelsen. Det følger av norsk lov at kommunen skal iverksette nødvendige tiltak for å hindre fremtidige lovovertredelser. Datatilsynet er kommet til at de etterfølgende tiltakene for å rette opp i hendelsene, sett opp mot bruddets alvorlighet, ikke har nevneverdig betydning for overtredelsesgebyrets størrelse.

Vi har derfor konkludert med at det varslede gebyret ikke endres.

Last ned