Norge: NAV underrättas om böter på 5 miljoner norska kronor för olaglig publicering av CV:n

Datatilsynet har underrättat Arbeids- og velferdsetaten (NAV) om en sanktionsavgift på 5 miljoner norska kronor för att ha gjort CV:n tillgängliga på tjänsten arbeidplassen.no utan rättslig grund.

Av beslutet framgår att CV:n för arbetssökande varit tillgängliga för alla arbetsgivare med tillgång till arbeidplassen.no. NAV underrättade Datatilsynet om dataintrånget när det upptäcktes i februari 2021, och informerade om att sådan tillgång även funnits för liknande lösningar, och att mer än 1,8 miljoner människor drabbats av händelsen. Datatilsynet har även tagit emot 18 klagomål från användare om ärendet.

För att få tjänster och förmåner har arbetssökande varit tvungna att lämna en rad uppgifter, bland annat i form av ett CV. CV:n innehåller information om de registrerade, såsom namn, bostadsort, födelsedatum, telefonnummer, e-postadress, utbildning, arbetslivserfarenhet och annan erfarenhet, kurser, körkort, tillgång till fordon, godkännanden (certifieringar och liknande), språk, angivna kompetenser och arbetsönskemål.

Efter dataintrånget har NAV bland annat skickat ut ett brev till alla berörda som är registrerade på arbeidsplassen.no, med information om vad som har hänt, hur de följer upp ärendet och råd om vad den enskilde bör göra för att undvika att information om dem missbrukas. Arbeidsplassen.no gjordes också omedelbart otillgänglig.

Vid sitt beslut har Datatilsynet lagt särskild vikt vid den maktposition NAV har gentemot användare, arten och omfattningen av personuppgifter som gjorts tillgängliga, hur många som har haft enkel tillgång till uppgifterna, antalet berörda och behandlingens varaktighet, och det faktum att NAV har brutit mot grundläggande och principiella bestämmelser i dataskyddsförordningen.

NAV har rätt att ge sin feedback och kommentera Datatilsynets underrättelse om beslut inom tre veckor. Datatilsynet kommer därefter att granska återkopplingen och fatta ett slutgiltigt beslut i ärendet.

Mer information

Myndighet: Datatilsynet

Land: Norge

Lagrum: Art. 5 GDPR. art. 6 GDPR, art. 58 GDPR, art. 83 GDPR

Sanktionsavgift: 5 000 000 norska kronor

Mottagare: Arbeids- og velferdsetaten (NAV)

Beslutsnummer: 21/00872-7

Beslutsdatum: 2022-05-23

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.