La DPA norvégienne (Datatilsynet) a infligé une amende de 14 800 euros à une entreprise. L'arrière-plan de l'affaire est une plainte d'un ancien employé qui a appris que le directeur général de l'entreprise s'était connecté quotidiennement à la boîte de réception du plaignant pendant une période de six semaines après la fin de l'emploi de l'ancien employé. Au total, le directeur général a eu accès au compte pendant une période de cinq mois. Le processus avait été justifié par les exigences de l'entreprise (par exemple, le traitement des demandes des clients). Cependant, la DPA a constaté que le responsable du traitement n'avait pas de base légale pour un tel accès au compte de messagerie de la personne concernée. En outre, la DPA a conclu que le responsable du traitement avait manqué à ses obligations d'information en vertu de l'art. 13 GDPR, son obligation de supprimer le contenu du compte de messagerie de la personne concernée en vertu de l'art. 17 RGPD et son obligation d'examiner l'objection du plaignant en vertu de l'art. 21 RGPD.