Norveška: 347.000 EUR za Telenor ASA
Nadzorni organ je telekomunikacijskega ponudnika kaznoval zaradi neustrezno definiranih delovnih nalog pooblaščene osebe za varstvo podatkov in pomanjkanja notranjega nadzora
Odločitev je bila objavljena 14.3.2025
Po prejemu anonimnih prijav je norveški nadzorni organ (Datatilsynet) sprožil inšpekcijski nadzor družbe Telenor ASA glede skladnosti z zahtevami glede imenovanja pooblaščene osebe za varstvo podatkov (DPO) iz členov 37–39 GDPR in obveznostmi upravljavca iz člena 24 GDPR.
Ugotovljeno je bilo, da upravljavec ni ustrezno definiral nalog in vloge DPO-ja, predvsem pa niso poskrbeli za njegovo neodvisnost, saj niso uvedli načinov delovanja, s katerimi bi se lahko izognili morebitnim navzkrižjem interesov. Upravljavec tudi ni imel vzpostavljene neposredne linije poročanja DPO-ja do najvišjih ravni vodstva, notranji nadzor pa ni bil ustrezen. Po predhodnem obvestilu o rezultatih preiskave je podjetje objavilo, da bodo ukinili delovno mesto DPO.
Nadzorni organ je zato upravljavcu naložil:
Izvedbo dokumentirane interne ocene, ali so dolžni imenovati pooblaščeno osebo za varstvo podatkov, ki med drugim upošteva vlogo Telenor ASA pri različnih dejavnostih obdelave.
Ažuriranje evidence dejavnosti obdelave in uvedbo organizacijskih ukrepov za zagotovitev, da evidenca vedno odraža ažuren opis dejavnosti obdelave, število posameznikov, na katere se nanašajo osebni podatki, in vloge upravljavca.
V primeru, da so dolžni imenovati DPO, mora podjetje izvesti ustrezne organizacijske ukrepe in politike v zvezi z organizacijo vloge DPO. To vključuje jasen opis linije poročanja najvišji vodstveni ravni, opis nalog, pri katerih naj bi DPO sodeloval, ter način in terminski plan vključitve DPO-ja. Uvesti je potrebno tudi ukrepe, s katerimi se zagotovi neodvisnost in prepreči navzkrižje interesov z vsemi drugimi vlogami v opisu delovnega mesta, zagotoviti je potrebno ločen e-poštni naslov za DPO, prav tako pa je potrebno izvesti dokumentirano oceno vloge DPO v podjetju.
V skladu s členom 58(2)(b) GDPR in členom 38(3) je nadzorni organ upravljavcu izrekel opomin, ker:
v celotnem času trajanja preiskave niso vzpostavili linije neposrednega poročanja DPO najvišjemu vodstvu.
V skladu s členom 58(2)(i) GDPR in oddelkom 26 norveškega zakona o osebnih podatkih je nadzorni organ upravljavcu izrekel tudi kazen v višini 347.000 EUR (4.000.000 NOK), ker:
niso izvajali ustreznih organizacijskih ukrepov za zagotovitev in dokazovanje skladnosti z GDPR, kar je v nasprotju s členom 24(1) GDPR, in
ker niso izvajali ustreznih politik varstva podatkov, kar je v nasprotju s členom 24(2) GDPR.
Celotna odločitev je dostopna tukaj
Vir: Datatilsynet
Naslovna slika: Shutterstock
