Datatilsynet har beslutat att tillrättavisa fisk- och skaldjursföretaget Mowi ASA för att ha underlåtit att lämna ut all information som krävs enligt dataskyddsförordningen (GDPR) till företagets aktieägare. Informationen utgör personuppgifter som Mowi samlat in direkt från bolagets aktieförvaltare. Dessutom är Mowi enligt Datatilsynet skyldiga att se till att företagets informationsrutiner och dokumentation överensstämmer med bestämmelserna i dataskyddsförordningen, vilket inkluderar att göra ändringar i företagets integritetspolicy.
Det här ärendet är enligt Datatilsynet en viktig påminnelse om att informationsskyldigheten i dataskyddsförordningen gäller även när personuppgifter behandlas i enlighet med en laglig rättighet som den som ges i norska aktiebolagslagen. Det kan enligt Datatilsynet inte antas att en aktieägare som köper aktier via sin bank är medveten om att hans uppgifter kan delas med det bolag han köpt aktier i. Börsnoterade bolag i Norge bör enligt Datatilsynet ta del av detta beslut.
Mowi har enligt Datatilsynet sitt huvudkontor i Norge, men har etableringar och aktieägare i flera europeiska länder. Datatilsynet har därför handlagt ärendet i samarbete med flera tillsynsmyndigheter i andra EES-länder, genom den så kallade one-stop-shop-mekanismen. Som ledande tillsynsmyndighet har Datatilsynet haft huvudansvaret för att utreda, behandla och fatta beslut i ärendet.