I januar i år hadde Datatilsynet kontroll hos Hurtigruten ASA. Intensjonen var å sjekke om de deres behandling av personopplysninger er i tråd med kravene som stilles i personopplysningsloven. Datatilsynet skriver på sine nettsider at de ville vite om personopplysningene var godt nok sikret og om Hurtigruten hadde rutiner for hvordan personopplysningene behandles.

Manglende rutiner

Det ble blant annet avdekket manglende rutiner for lagringen av personopplysninger. De fant ingen regler for hva som er riktig lagringstid, selv om personopplysninger ikke skal lagres lengre enn nødvendig. Datatilsynet fant lagrede personopplysninger fra og med 2010. De mener Hurtigruten bør vurdere om det er nødvendig med så lang lagringstid.

Stein Lillebo, kommunikasjonsrådgiver i Hurtigruten ASA, sier de har notert seg alle innspillene.

- Tilsynet kom på bakgrunn av et bransjeinitiativ og vi tror dette er et veldig godt bidrag. Flybransjen har gjort kvantesprang på dette området og nå skal også reiselivsbransjen komme etter, sier Lillebo.

Pågående prosjekter

I tillegg fikk Hurtigruten en rekke andre pålegg. Blant annet å etablere rutiner for å gi de registrerte rett til innsyn i egne opplysninger, ivareta den registrertes rettigheter, avvikshåndtering og å utarbeide en oversikt over behandlinger av personopplysninger som viser hvilke personopplysninger som behandles, formålet med behandlingen og lovgrunnlaget.

- Hurtigruten har flere store prosjekter pågående som vil løse mange av de utfordringer Datatilsynet peker på. Blant annet vil vi fra høsten ha prosedyrene på plass, og ikke minst en «Hurtigrutens Min side» hvor gjestene til enhver tid lett kan se hvilken informasjon vi har lagret, sier Lillebo.

Han forteller videre at de har et klart mål om å være på plass i forhold til påleggene innen fristen går ut.

Hurtigruten ASA har fått frist til den 30. november 2015.