Kontrollen viser at plasseringen av behandlingsansvaret har vært uklar, og at internkontrollen har vært mangelfull. Datatilsynet har på bakgrunn av tilsynsrapporten truffet vedtak der KDI pålegges å sørge for at det etableres klare ansvars- og myndighetsforhold.

Tilsynet, som ble gjennomført hos Kriminalomsorgsdirektoratet (KDI) og tre underliggende enheter, ble gjennomført i perioden november 2021 - april 2022. Kriminalomsorgen behandler personopplysninger i et stort omfang i forbindelse med gjennomføring av varetektsfengsling og straffereaksjoner i og utenfor fengsel. Dette vil ofte være opplysninger av sensitiv karakter. I tillegg til opplysninger om innsatte og domfelte, kan det også være nødvendig å behandle opplysninger om andre personer, som for eksempel innsattes familiemedlemmer eller fornærmede i straffesaken. Kriminalomsorgen behandler dessuten opplysninger om egne ansatte og personer som utfører tjenester for kriminalomsorgen.

- I dette tilsynet har Datatilsynet særlig fokusert på behandling av personopplysninger i forbindelse med straffegjennomføring, forteller seniorrådgiver Maren Vaagan.

Uklare ansvarsforhold og mangelfull internkontroll

Datatilsynet har funnet avvik fra regelverket knyttet til ansvarsplassering og internkontroll.

Plasseringen av behandlingsansvaret i Kriminalomsorgen har vært uklar. Underveis i tilsynsperioden har KDI utarbeidet en instruks som plasserer behandlingsansvaret for hele Kriminalomsorgen hos direktoratet.

- Det er positivt at det er blitt utarbeidet en instruks og at behandlingsansvaret er lagt til direktoratet. Etter å ha gjennomført tilsyn ved de underliggende enhetene er det vår vurdering at instruksen ikke er implementert fullt ut i organisasjonen, sier Vaagan.

Videre er Kriminalomsorgens internkontroll mangelfull.

- Det meldes få avvik fra personvernregelverket i eksisterende avvikssystem, og vårt inntrykk er at dette kan skyldes manglende opplæring og kultur for personopplysningssikkerhet i organisasjonen, sier Vaagan.

Funnene fra tilsynet er nærmere beskrevet i kontrollrapporten vår, som nå er oversendt KDI.

Datatilsynet har truffet vedtak der KDI pålegges å sørge for at det etableres klare ansvars- og myndighetsforhold. KDI pålegges også å foreta en gjennomgang av internkontrollsystemet for informasjonssikkerhet, og oppdatere denne for å sikre at personopplysningsloven blir etterlevd i alle ledd i etaten. Fristen for å oppfylle pålegget er satt til seks måneder.

Sammensatt og uoversiktlig regulering

Kriminalomsorgens behandling av personopplysninger reguleres av ulike regelsett.

- Datatilsynet mener det er grunn til å anta at et komplekst og fragmentert regelverk har gjort det vanskelig å forstå hvilke regler som gjelder, og at dette har hatt betydning for etatens etterlevelse av personvernreglene, sier Vaagan.

Personopplysningsloven av 2018 og EUs personvernforordning gjelder ikke for behandling av personopplysninger ved straffegjennomføring. Lovgiver har siden 2018 varslet ny regulering av behandling av personopplysninger i forbindelse med straffegjennomføring. Inntil nytt regelverk trer i kraft er det fastsatt at personopplysningsloven av 2000 fortsatt skal gjelde for slike behandlinger.

- Vi mener det er uheldig at arbeidet med nytt regelverk har tatt lang tid og at ny regulering fortsatt ikke er på plass. På bakgrunn av tilsynet har vi tatt opp behovet for nytt regelverk i brev til Justis- og beredskapsdepartementet. Vi stiller oss positive til å bidra med innspill i dette arbeidet, avslutter Vaagan.

Last ned

Endelig kontrollrapport: Kriminalomsorgen (pdf).

Oversendelsesbrev: kontrollrapport og pålegg til kriminalomsorgen (pdf).

På bakgrunn av tilsynet ser Datatilsynet også behov for å ta opp forhold knyttet til den rettslige reguleringen av kriminalomsorgens behandling av personopplysninger og arbeidet med nytt regelverk. Vi sendte derfor et brev til Justis- og beredskapsdepartementet. 

Behandling av personopplysninger i forbindelse med straffegjennomføring – arbeid med nytt regelverk (pdf).