Commission Nationale pour la Protection des Données (CNPD) har utfärdat en sanktionsavgift på 7 000 euro mot en personuppgiftsansvarig för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att CNPD genomfört en granskning av den personuppgiftsansvariges efterlevnad av artikel 30 GDPR och fann att registret över behandling inte uppfyllde de krav som följer av artikel 30.1 (a), (c) och (f). Registret saknade således obligatoriska uppgifter avseende behandlingsändamål, kategorier av personuppgifter samt planerade tidsfrister för radering.
Under handläggningen anförde den personuppgiftsansvarige att CNPD:s formella underrättelse hade tydliggjort vilka uppgifter som saknades, varefter registret kompletterades och ett nytt dataskyddsombud utsågs. Den personuppgiftsansvarige framhöll vidare att den bristande dokumentationen inte hade medfört någon skada för registrerad
CNPD gjorde bedömningen att den personuppgiftsansvarige hade åsidosatt sina skyldigheter enligt artikel 30.1 (a), (c) och (f) GDPR. Vid fastställandet av sanktionsavgiftens storlek beaktade myndigheten bland annat den personuppgiftsansvariges storlek, ekonomiska förutsättningar och omsättning, liksom neutrala förmildrande omständigheter, särskilt avsaknaden av uppkomna skador för enskilda. Myndigheten bedömde överträdelsen som av låg allvarlighetsgrad och beslutade därför att påföra en administrativ sanktionsavgift om 7 000 euro. CNPD konstaterade att avgiften var effektiv, proportionerlig och avskräckande. Eftersom bristerna redan hade åtgärdats avstod myndigheten från att vidta ytterligare korrigerande åtgärder.