Telenor får millionbøde for ikke-uafhængig databeskyttelsesrådgiver

Telenor får millionbøde for ikke-uafhængig databeskyttelsesrådgiver

Compliance EU-ret Persondata og cybersikkerhed
Norges Datatilsyn har udstedt en millionbøde til Telenor for manglende uafhængig DPO og utilstrækkelig dokumentation. Afgørelsen skærper kravene til funktionsadskillelse, rapportering til topledelsen og skriftlig vurdering af DPO'ens egnethed og interessekonflikter.
SE
Stefanie Lynge Eriksen
NM
Nicoline Madsen

Det norske Datatilsyn har udstedt en millionbøde til Telenor for utilstrækkelige organisatoriske foranstaltninger omkring databeskyttelsesrådgiveren (DPO). Tilsynet konstaterede manglende dokumentation for DPO'ens uafhængighed og mulige interessekonflikter samt fravær af en klar rapporteringslinje til øverste ledelse. Afgørelsen skærper fokus på, at organisationer med DPO skal kunne demonstrere uvildighed i praksis og have styr på governance og dokumentation.

Krav til DPO'ens uafhængighed

Efter GDPR skal DPO'en være fri for interessekonflikter og må ikke træffe beslutninger om formål og hjælpemidler for behandlingen, som DPO'en siden skal føre tilsyn med. Det betyder, at funktioner som it- eller informationssikkerhedschef, drift eller andre beslutningsfunktioner normalt ikke kan forenes med DPO-rollen.

Et typisk konfliktpunkt opstår, når en medarbejder både har ansvar for implementering af systemer med personoplysninger og samtidig forventes at kontrollere og rådgive om samme behandling. Den dobbelte kasket underminerer uafhængigheden og strider mod forordningens krav om funktionsadskillelse.

Dokumentation og rapportering

GDPR forpligter den dataansvarlige og databehandleren til at kunne dokumentere, at DPO'en er egnet og uafhængig i forhold til sine øvrige opgaver. Dette er en del af accountability-princippet og de organisatoriske foranstaltninger. Vurderingen bør være skriftlig, begrundet og regelmæssigt opdateret.

DPO'en skal desuden rapportere direkte til øverste ledelsesniveau, og ledelsen må ikke instruere DPO'en om udførelsen af opgaverne. En tydelig governance-struktur med klare roller, rapporteringslinjer og konfliktvurderinger reducerer risikoen for sanktionssager og styrker organisationens compliance.

For at tydeliggøre DPO'ens mandat bør organisationen beskrive roller og ansvar i en rollebeskrivelse, etablere kontrolspor for udpegning og genvurdering samt sikre, at DPO'en har tilstrækkelige ressourcer og adgang til relevante beslutningsfora.

DPO'ens kerneopgaver

Forordningen fastlægger en række minimumsopgaver, som organisationen skal understøtte og afspejle i sine processer og politikker:

  • Rådgive den dataansvarlige om forpligtelser efter databeskyttelsesreglerne.
  • Overvåge efterlevelse af GDPR og interne politikker.
  • Rådgive om og følge op på konsekvensanalyser (DPIA).
  • Samarbejde med tilsynsmyndigheden.
  • Være kontaktpunkt for tilsynsmyndigheden og registrerede.

Afgørelsen illustrerer, at svigt i uafhængighed, dokumentation og rapportering kan udløse betydelige administrative bøder efter GDPR. En risikobaseret tilgang, klar funktionsadskillelse og løbende ledelsesopfølgning er derfor centrale tiltag for at sikre robust databeskyttelsescompliance.

Læs hele artiklen hos HjulmandKaptain →
Søgeord
GDPR, Informationssikkerhed, Ledelsesansvar, Datatilsynet, DPIA, Databeskyttelsesforordningen, Konsekvensanalyse, Governance, Dataansvarlig, DPO, GDPR art. 37, GDPR art. 39, Accountability, GDPR art. 5, Databehandler, Ledelsesrapportering, Tilsynsmyndighed, Sanktionspraksis, Intern kontrol, Databeskyttelsesrådgiver, Interessekonflikt, Dokumentationspligt, Organisatoriske foranstaltninger, Administrative bøder, Uafhængighed, Tilsynssag, Compliance, It-sikkerhed, Funktionsadskillelse, Databeskyttelsespolitik, GDPR art. 83, GDPR art. 38, GDPR art. 24, Rollebeskrivelse, Dokumentation af uafhængighed, Ledelsesniveau

Relaterede artikler

Risici og sårbarheder i advokatbranchen – del 3: Køb og salg af virksomheder
Advokatsamfundet

Risici og sårbarheder i advokatbranchen – del 3: Køb og salg af virksomheder

Virksomhedskøb, aktivhandler og omstruktureringer rummer betydelige hvidvaskrisici. Fleksibel værdiansættelse, komplekse pengestrømme og manipulerede låneaftaler kræver skærpet kundekendskab, dokumentation og kritiske spørgsmål til formål, finansiering og reelle ejere.
Kapitalfondes investeringer i revisionsvirksomheder skaber både muligheder og risici
Erhvervsstyrelsen

Kapitalfondes investeringer i revisionsvirksomheder skaber både muligheder og risici

Kapitalfonde i revisionsbranchen kan styrke teknologi og vækst, men skærper risikoen for uafhængighedsbrud og kvalitetsfald. Få overblik over revisorlovens ejerskabsregler, etiske standarder og praktiske tiltag, der reducerer regulatoriske og driftsmæssige risici.
Nye FSR-retningslinjer
Gorrissen Federspiel

Nye FSR-retningslinjer

Kommissionens nye retningslinjer til forordningen om udenlandske subsidier udvider forståelsen af fordrejning og skærper beviskravene. Virksomheder med tredjelandsstøtte bør styrke dokumentationen, kortlægge finansielle bidrag og afklare notifikationspligt i M&A og udbud for at undgå forsinkelser og call-in.
Regeringens lovprogram for 2026: Disse nye ændringer bør arbejdsgivere forberede sig på
HjulmandKaptain

Regeringens lovprogram for 2026: Disse nye ændringer bør arbejdsgivere forberede sig på

Lovprogrammet for 2026 moderniserer arbejdsskadesystemet, lemp­er fristen for anmeldelse af arbejdsulykker og skærper tilsynet med asbest. Bidrag til barselsudligning stiger, social dumping bekæmpes med ID‑kort og arbejdsklausuler, og adgang til udenlandsk arbejdskraft lettes via lavere beløbsgrænse.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Naturstyrelsen
Jurister med interesse for natur- og miljøbeskyttelse
Naturstyrelsen
Erhvervsministeriet
Medarbejdere søges til nyoprettet kontor for tilsyn med leasingvirksomheder
Erhvervsministeriet
Erhvervsministeriet
Erhvervsstyrelsen søger analytisk fuldmægtig til arbejdet med national sikkerhed og udenlandske investeringer
Erhvervsministeriet
Bech-Bruun
Senioradvokat/erfaren jurist til vores GDPR-team
Bech-Bruun
Erhvervsministeriet
Engageret jurist med interesse for offentlig ret til Erhvervsstyrelsens interne advokatkontor
Erhvervsministeriet
Københavns Kommune
Kontorchef til den nye juridiske afdeling i Kultur-, Fritids- og Borgerserviceforvaltningen i Danmarks største kommune
Københavns Kommune
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →