Commission Nationale pour la Protection des Données (CNPD) har utfärdat en sanktionsavgift på 7 000 euro mot ett företag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att CNPD inledde en utredning med ett platsbesök den 19 december 2023 där myndigheten begärde in och fick tillgång till det register över behandlingar som bolaget förde i enlighet med artikel 30 GDPR, som beskriver ansvarigas skyldighet att dokumentera alla personuppgiftsbehandlingar.
Vid granskningen konstaterade CNPD att registret över personuppgiftsbehandlingar var otillräckligt och i flera avseenden ofullständigt, eftersom det saknade nödvändiga uppgifter såsom namn och kontaktuppgifter för den personuppgiftsansvarige, en tillräcklig beskrivning av kategorier av registrerade samt fastställda tidsfrister för radering av personuppgifter. CNPD ansåg att bolaget därigenom hade åsidosatt sina skyldigheter artikel 30.1 (a), (c) och (f) GDPR.
Eftersom överträdelserna bedömdes vara av mindre allvarlig natur, begångna genom oaktsamhet, och eftersom bolaget senare vidtagit vissa korrigerande åtgärder, ansåg myndigheten att en formell anmärkning tillsammans med en sanktionsavgift på 7 000 euro var proportionerlig.