Commission Nationale pour la Protection des Données (CNPD) har utfärdat en sanktionsavgift på 18 700 euro mot ett företag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att CNPD under sin utredning konstaterat att den personuppgiftsansvariges webbplats inte hade några direkta kontaktuppgifter till dataskyddsombudet. Dessutom var dataskyddsombudet inte tillräckligt involverat i företagets alla dataskyddsfrågor. Dataskyddsombudet deltog till exempel endast på inbjudan i interna möten.
Därutöver fanns det flera hierarkiska nivåer mellan dataskyddsombudet och den högsta ledningsnivån hos den personuppgiftsansvarige, vilket inte gav dataskyddsombudet tillräcklig självständighet. I avsaknad av formaliserade förfaranden kunde dataskyddsombudet inte heller i tillräcklig utsträckning övervaka att företagets behandling av personuppgifter var konsekvent.
Enligt CNPD utgjorde detta överträdelser av artiklarna 4.4, 12.1, 13.1 (b), 14.1 (b), 37.7, 38.3, 38.4 och 39.1 (b) GDPR.