רשות הגנת המידע הנורבגית (Datatilsynet) פרסמה החלטה מינהלית נגד חברת הטלקום Telenor ASA בעקבות פיקוח שהחל מדיווחים אנונימיים. החקירה חשפה כי החברה לא עמדה במספר דרישות ב-GDPR הנוגעות לתהליכים פנים-ארגוניים.

הרשות הורתה על מספר פעולות תיקון בעקבות הכשלים שזיהתה. ראשית, החברה נדרשת לבצע ולתעד ביסודיות הערכה פנימית בשאלה האם היא מחויבת לפי ה-GDPR למנות ממונה על הגנת מידע (DPO) בהתחשב במכלול פעילויות עיבוד המידע האישי שלה. שנית, החברה נדרשת לתקן את תיעוד פעילויות העיבוד שלה (Records of Processing Activities – RoPA) וליישם אמצעים ארגוניים שיבטיחו שהתיעוד משקף במדויק את עיבוד המידע בחברה, את היקף נושאי המידע, ואת התפקידים הספציפיים של החברה כמעבדת מידע (Processor), בעלת שליטה במידע (Controller) או בעלת שליטה בצוותא עם גורם אחר (Joint-Controller).

הרשות להגנת מידע בנורבגיה גם החליטה על נזיפה רשמית בחברה, משום שבמשך תקופה של כשנה במהלך הפיקוח החברה לא הצליחה ליצור קו דיווח ישיר בין ה-DPO שלה לבין הדרג הניהולי הגבוה ביותר בארגון. הרשות בנורבגיה גם הטילה קנס מנהלי על החברה בסכום של כ-380,000 דולר, בשל כישלון החברה ליישם אמצעים ארגוניים מתאימים כדי להבטיח את הציות שלה ל-GDPR. בין היתר, נמצא כי לחברה לא היתה מדיניות מספקת בנוגע למעורבות ה-DPO בחברה, שרשרשת הפיקוד שלו, תחום אחריותו ומניעת ניגוד עניינים מול משרה מקבילה של יועץ משפטי בחברה. הרשות הדגישה את החשיבות הקריטית של מנגנוני בקרה פנימיים חזקים והקפדה יתרה על עקרון האחריותיות ב-GDPR.

הרשות בנורבגיה הביעה אכזבה מהחלטת החברה לחדול את פעילות ה-DPO לאחר ההודעה הראשונית של הרשות על ממצאי הפיקוח. הרגולטור הציע שתיערך בדיקה מעמיקה יותר של הצורך ב-DPO ועודד את החברה לשקול מחדש את החלטתה. החברה רשאית לערער על ההחלטה בפני בית משפט.