Tilsynet ble utført gjennom stedlige kontroller ved Kriminalomsorgsdirektoratet og tre lokale enheter. Datatilsynet har funnet avvik fra regelverket knyttet til ansvarsplassering og internkontroll. Bruddene er beskrevet nærmere i den foreløpige kontrollrapporten, som nå er oversendt Kriminalomsorgsdirektoratet (KDI).

- Datatilsynet forventer at rettighetene til sårbare personer ivaretas i samsvar med personvernregelverket. Funnene våre viser mangler ved kriminalomsorgens personvernarbeid. Vi mener kriminalomsorgen ikke har prioritert arbeidet med personvern tilstrekkelig. Det er alvorlig for alle registrerte i kriminalomsorgen, og særlig for innsatte, som allerede er fratatt store deler av retten til privatliv gjennom fengselsstraffen, sier juridisk rådgiver i Datatilsynet, Embla Helle Nerland. 

Utydelig ansvarsfordeling og sviktende internkontroll

Gjennom tilsynet har Datatilsynet undersøkt organiseringen av behandlingsansvaret i kriminalomsorgen. Underveis i tilsynsperioden, som har vart i halvannet år, har Kriminalomsorgsdirektoratet utarbeidet en instruks som plasserer behandlingsansvaret for hele Kriminalomsorgen hos direktoratet. Samtidig har Datatilsynet observert at forståelsen av denne ansvarsfordelingen ikke nødvendigvis deles av alle underliggende enheter.

Videre har Datatilsynet undersøkt kriminalomsorgens internkontroll for personvernområdet. Også på dette punktet har Datatilsynet funnet mangler ved etterlevelsen av regelverket. Kriminalomsorgen har et internkontrollsystem, men dette er mangelfullt og utdatert. Kriminalomsorgen registrerer tilsynelatende svært få brudd på rutiner og regelverk i internkontrollsystemet sitt. Funnene til Datatilsynet viser at dette kan skyldes manglende opplæring og kultur for personopplysningssikkerhet i organisasjonen.

- Mangel på tydelige ansvarsforhold og sviktende internkontroll gjør at det er stor fare for ulik praktisering av regelverket internt i kriminalomsorgen. Det kan medføre at det er forskjell på hvilke rettigheter den enkelte innsatte får realisert, samtidig som risikoen for myndighetsmisbruk øker, sier Nerland.

Sammensatt og uoversiktlig regelverk i kriminalomsorgen

Datatilsynet mener at et sammensatt og uoversiktlig regelverk også kan ha fått betydning for manglende etterlevelse i kriminalomsorgen. Personopplysningsloven av 2018 og den europeiske personvernforordningen gjelder ikke for behandling av personopplysninger ved straffegjennomføring. Lovgiver videreførte i 2018 derfor personopplysningsloven fra 2000, med tilhørende forskrifter. Lovgiver har siden 2018 varslet ny lov for behandling av innsattes personopplysninger ved straffegjennomføring. Datatilsynet kommenterer i varselet om vedtak at dette lovarbeidet har tatt lang tid. Samtidig har ikke departementet utarbeidet forskrift om behandlingsansvar, som de varslet da straffegjennomføringsloven ble endret i 2009.

Det varslede pålegget, sendt 24. juni, innebærer at KDI må rydde opp i og dokumentere ansvarsforholdene, og gjennomgå og oppdatere internkontrollen for personvernet. Kriminalomsorgsdirektoratet har anledning til å komme med merknader til kontrollrapporten og varselet om vedtak. Fristen for merknader er 22. august 2022.

Last ned

Varsel om vedtak om pålegg til Kriminalomsorgsdirektoratet (pdf).

Foreløpig kontrollrapport - kriminalomsorgens etterlevelse av personvernregelverket (pdf).