I december meddelade Datatilsynet ett beslut om att bötfälla Norges teknisk-naturvetenskapliga universitet (NTNU) med 150 000 norska kronor för överträdelser av dataskyddsförordningen (GDPR).
Med utgångspunkt i NTNU:s synpunkter på Datatilsynets beslut har myndigheten nu kommit framtill att vidhålla slutsatsen att universitetet saknade rättslig grund för att granska den anställdes e-postkonto enligt artikel 6.1 GDPR. Datatilsynet har dock beslutat att inte gå vidare med sanktionsavgiften. Denna slutsats grundar sig på flera förmildrande omständigheter som framgår av de synpunkter Datatilsynet fått från NTNU.
Efter att ha genomfört ytterligare utredningar i ärendet är Datatilsynets slutsats att NTNU inte uppfyllt villkoret att ha en berättigad misstanke om att den anställde använt e-postkontot för handlingar som leder till grovt åsidosättande av plikten eller kunde ge skäl för uppsägning eller uppsägning vid tidpunkten för då kontrollen utfördes. Vidare är anser Datatilsynet att kontrollen av e-postkotot inte heller uppfyllde kravet på att vara en lämplig och nödvändig åtgärd för att uppnå syftet vid den tidpunkt då den genomfördes.
När det gäller förutsättningarna i övriga klagomål är Datatilsynets bedömning att NTNU inte har brutit mot regelverket. NTNU har tre veckor på sig att överklaga Datatilsynets beslutet.