Vi har vedtatt et overtredelsesgebyr på 250 000 kr til Grue kommune for brudd på krav i personvernforordningen. Vedtaket kommer etter at Datatilsynet ble varslet om brudd på konfidensialitet på kommunens postjournal.
Personopplysninger som skulle vært skjermet ble gjort tilgjengelig for uvedkommende på kommunens offentlige postjournal. Dette innebærer et brudd på kommunens plikt til å sørge for tilstrekkelig sikkerhet i samsvar med personvernforordningen.
Videre mener vi at kommunen brøt kravene til rettslig grunnlag etter personvernforordningen ved å publisere taushetsbelagt informasjon på postjournalen. Datatilsynet ser alvorlig på publisering av konfidensielle og taushetsbelagte opplysninger på internett.
I februar 2024 mottok Datatilsynet en melding om brudd på personopplysningssikkerheten fra Grue kommune. Ifølge meldingen hadde kommunen blitt oppmerksom på at det fantes to poster på offentlig postjournal som inneholdt sensitive personopplysninger. Dette viste seg å være informasjon om såkalte 9A-vedtak etter opplæringsloven, som er enkeltvedtak om elevers rett til et forsvarlig skolemiljø. Disse dokumentene avdekket elevers navn, fødselsdato, fødselsnummer og opplysninger om, og begrunnelse for, 9A-vedtakene. I tillegg ble foresattes telefonnummer og adresser offentliggjort.
Etter nærmere gjennomgang av postjournalen tilbake til 2020, ble det avdekket ytterligere åtte avvik. Kommunen informerer om at disse avvikene omfatter personnummer eller kontonummer som fremkommer i ulike søknadsdokumenter. I ett tilfelle har kommunen mottatt brev fra politiet hvor det fremkommer et navn i en straffesak.
Totalt er det snakk om 14 elever og deres foreldre, samt åtte øvrige registrerte.
Datatilsynet ser positivt på at Grue kommune meldte inn bruddet til Datatilsynet raskt etter at de var blitt oppmerksomme på det, og at de informerte de berørte personene om bruddene. Kommunen satte også i gang et omfattende kontrollarbeid og tiltak for å forhindre liknende hendelser i fremtiden.
Overtredelsesgebyr skal være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende. I september sendte vi et varsel om vedtak til kommunen. I det endelige vedtaket har vi tatt høyde for kommunens merknader, og mener at hensynet til kommunens størrelse og økonomiske situasjon taler for en nedjustering av det varslede overtredelsesgebyret.