Commission Nationale pour la Protection des Données (CNPD) har bötfällt en personuppgiftsansvarig med 2 500 euro för överträdelser av dataskyddsförordningen (GDPR).
CNPD har utrett två offentliga organ, Organisme public A och Organisme public B, som installerat ett system för geolokalisering av sina tjänstefordon och arbetsmaskiner. CNPD har tidigare gett ett råd till organens personalansvariga om villkoren för ett sådant system.
Under sin utredning konstaterar CNPD att de två organen är gemensamt ansvariga för behandlingen av personuppgifter som samlas in genom geolokaliseringssystemet, eftersom de bestämt tillsammans om ändamålen och medlen för behandlingen.
Vidare konstaterar CNPD de två organen brutit mot flera bestämmelser i GDPR, framför allt om principen om ändamålsbegränsning enligt artikel 5.1 (b) GDPR och principen om uppgiftsminimering enligt artikel 5.1 (c). CNPD konstaterar också att organen inte informerat de berörda personerna på ett korrekt och fullständigt sätt om behandlingen artikel 13 GDPR.
CNPD beslutar att bötfälla de två organen med 2 500 euro och påföra organen flera korrigerande åtgärder, såsom att uppdatera och komplettera informationen till de berörda personerna, att begränsa omfattningen och varaktigheten av behandlingen, samt att genomföra en konsekvensbedömning avseende dataskydd.