Norge: Företag bötfälls med 100 000 norska kronor för automatisk vidarebefordran av e-post

Datatilsynet har bötfällt ett företag med 100 000 norska kronor för överträdelse av artiklarna 6.1, 13 och 21 i dataskyddsförordningen (GDPR).

Av beslutet framgår att Datatilsynet engagerade sig i ärendet efter att ha fått både en anmälan om en personuppgiftsincident från ett företag och ett klagomål från en anställd i företaget. Bakgrunden till ärendet är att den anställde lämnat företaget. Den anställde skulle dock bistå företaget med vissa arbetsuppgifter efter uppsägningstiden. På grund av oenighet stängdes den anställdes tillgång till e-post och datasystem. Alla e-postmeddelanden som skickades till den anställdes e-postlåda vidarebefordrades automatiskt till en e-postadress som administrerades av den anställdes chef och vidarebefordran skedde under cirka sex veckor. Syftet med vidarebefordran var att ta hand om kundrelationerna, och under perioden hanterade den anställdes chef både arbetsrelaterade och privata e-postmeddelanden som skickades till den anställdes e-postlåda.

Enligt Datatilsynet har företaget inte haft en rättslig grund enligt artikel 6.1 GDPR för den automatiska vidarebefordran. Den automatiska vidarebefordran strider också enligt Datatilsynet mot reglerna i föreskrifterna om arbetsgivarens tillgång till e-postlådor och annat elektroniskt material. Företaget har dessutom agerat i strid med reglerna om information till den registrerade enligt artikel 13 GPDR och skyldigheten att bemöta den anställdes invändningar enligt artikel 21 GDPR.

Med utgångspunkt i detta har Datatilsynet beslutat att företaget ska förbättra sina skriftliga rutiner för tillgång till e-post, samt betala en sanktionsavgift på 100 000 norska kronor för den olovliga vidarebefordran. Företaget har tre veckor på sig att överklaga Datatilsynets beslut.

Mer information

Myndighet: Datatilsynet

Land: Norge

Lagrum: Art. 6 GDPR, art. 13 GDPR, art. 21 GDPR

Sanktionsavgift: 100 000 norska kronor

Mottagare: N/A

Beslutsnummer: 20/02368-8

Beslutsdatum: 2022-03-15

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.