Kontroll hos Hurtigruten ASA

Datatilsynet kom med en rekke pålegg til Hurtigruten etter en kontroll i januar 2015.

Temaet for kontrollen var å se om reisearrangørens behandling av personopplysninger er i tråd med kravene som stilles i personopplysningloven. Vi fokuserte spesielt på plikten til å ha internkontroll. Vi ville vite om personopplysningene var godt nok sikret og om Hurtigruten hadde rutiner for hvordan personopplysningene behandles.

Mangler etablerte rutiner

Vi avdekket blant annet manglende rutiner for lagring av personopplysninger. Det er ingen regler for hva som er riktig lagringstid, men personopplysninger skal ikke lagres lenger enn det som er nødvendig. Hurtigruten har lagret personopplysninger fra og med 2010, og bør vurdere om det er nødvendig med så lang lagringstid.

I tillegg til Hurtigruten pålegg om å:

  • Etablere rutiner for å gi de registrerte rett til innsyn i egne opplysninger
  • Etablere rutiner for å ivareta ta den registrertes rettigheter
  • Etablere rutiner for retting og sletting
  • Etablere rutiner for å oppfylle personopplysningslovens regler om melde- og konsesjonsplikt
  • Dokumentere sikkerhetsmål og sikkerhetsstrategi
  • Etablere klare ansvars- og myndighetsforhold for bruk av informasjonssystemet
  • Utarbeide en oversikt over behandlinger av personopplysninger som viser hvilke personopplysninger som behandles, formålet med behandlingen og lovgrunnlaget
  • Gjennomføre og dokumentere risikovurderinger av informasjonssystemet
  • Gjennomføre og dokumentere sikkerhetsrevisjoner
  • Etablere rutiner for avvikshåndtering
  • Dokumentere sikkerhetstiltak
  • Etablere rutiner for opplæring

Hurtigruten har frist til 30. november 2015 for å gjennomføre påleggene.

Les vedtak og endelig kontrollrapport her:

Brev om vedtak (pdf)

Endelig kontrollrapport (pdf)