Luxemburgs dataskyddsmyndighet Commission Nationale pour la Protection des Données (“CNPD”) har bötfällt ett företag med 18 000 euro för brott mot bland annat artiklarna 37.7, 38.1-2 och 39.1 (b) i dataskyddsförordningen (GDPR).
Av beslutet framgår att företaget underlåtit att involvera dataskyddsombudet i alla frågor som rör skyddet av personuppgifter. Företaget har inte heller någon strategi för dataskydd för att visa att dataskyddsombudet utfört sina uppgifter på ett adekvat sätt. Därutöver har företaget inte försett dataskyddsombudet med nödvändiga resurser för att utföra sina uppgifter.
Enligt CNPD har företaget agerat i strid med kraven på dataskyddsombud i artiklarna 37.7, 38.1-2 och 39.1 (b) GDPR. CNPD noterade också att företagets webbplats inte innehöll något avsnitt om dataskydd och att informationsmeddelandet om dataskydd endast fanns på engelska och inte på något av Luxemburgs officiella språk. Mot bakgrund av detta bötfällde CNPD företaget med 18 000 euro.