Podizvođač Identitrade AB švedskog telekom operatera Telenor, koji takođe posluje i u drugim državama širom Evrope, je bez pravne osnove pristupao do brojnih ličnih podataka korisnika koji su upotrebljavali elektronske poreske usluge (Skatteverket). Između ostalog, radilo se i o podacima o prebivalištu i u određenim primerima takođe i o finansiskoj situaciji ili čak oporezivanim prihodima.
Posmatrajući obrazloženja Telenor-a možemo uočiti da su koristili t.i. sekundarnu prijavu (eng. secondary log-in) za proveru identiteta korisnika tokom procesa internet plaćanja, i tokom toga imali pristup do previše podataka.
Po proceni Telenora, prestup se odnosio na 120.000 njihovih korisnika, a po proceni Poreske uprave Švedske čak i do 140.000 osoba, što pokazuje, da nezakonit pristup nije bio ograničen samo na korisnike Telenora i njihovog podizvođača.
Telenor je prekršaj sigurnosti podataka prijavio švedskom nadzornom organu za zaštitu podataka i utvrdio da podaci nisu bili prosleđeni trećim osobama. U svakom slučaju je to jedan od većih prekršaja zaštite ličnih podataka.
Švedski primer pokazuje, koliko je važna stalna provera pravnih osnova za obrađivanje ličnih podataka (član 6 GDPR) i pravilno određivanje prava pristupa (princip minimiziranja obrade ličnih podataka).
