Norge: NAV underrättas om böter på 5 miljoner norska kronor för olaglig publicering av CV:n

Den norska dataskyddsmyndigheten Datatilsynet har underrättat Arbeids- og velferdsetaten (NAV) om en sanktionsavgift på 5 miljoner norska kronor för att ha gjort CV:n tillgängliga på tjänsten arbeidplassen.no utan rättslig grund.

Av beslutet framgår att CV:n för arbetssökande varit tillgängliga för alla arbetsgivare med tillgång till arbeidplassen.no. NAV underrättade Datatilsynet om dataintrånget när det upptäcktes i februari 2021, och informerade om att sådan tillgång även funnits för liknande lösningar, och att mer än 1,8 miljoner människor drabbats av händelsen. Datatilsynet har även tagit emot 18 klagomål från användare om ärendet.

För att få tjänster och förmåner har arbetssökande varit tvungna att lämna en rad uppgifter, bland annat i form av ett CV. CV:n innehåller information om de registrerade, såsom namn, bostadsort, födelsedatum, telefonnummer, e-postadress, utbildning, arbetslivserfarenhet och annan erfarenhet, kurser, körkort, tillgång till fordon, godkännanden (certifieringar och liknande), språk, angivna kompetenser och arbetsönskemål.

Efter dataintrånget har NAV bland annat skickat ut ett brev till alla berörda som är registrerade på arbeidsplassen.no, med information om vad som har hänt, hur de följer upp ärendet och råd om vad den enskilde bör göra för att undvika att information om dem missbrukas. Arbeidsplassen.no gjordes också omedelbart otillgänglig.

Vid sitt beslut har Datatilsynet lagt särskild vikt vid den maktposition NAV har gentemot användare, arten och omfattningen av personuppgifter som gjorts tillgängliga, hur många som har haft enkel tillgång till uppgifterna, antalet berörda och behandlingens varaktighet, och det faktum att NAV har brutit mot grundläggande och principiella bestämmelser i dataskyddsförordningen.

NAV har rätt att ge sin feedback och kommentera Datatilsynets underrättelse om beslut inom tre veckor. Datatilsynet kommer därefter att granska återkopplingen och fatta ett slutgiltigt beslut i ärendet.

Du kan läsa pressmeddelandet här och underrättelse till beslut (21/00872-7) här, båda endast tillgängliga på norska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.