Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (“AP”) har bötfällt CP&A B.V. med 15 000 euro för brott mot artiklarna 9 och 32 dataskyddsförordningen (“GDPR”).
Av beslutet framgår att CP&A samlat in känsliga personuppgifter om sina anställda genom att använda en molntjänst för frånvaroregistrering som sakande nödvändig tvåfaktorsautentisering. Enligt AP var företagets behandling av anställdas fysiska och/eller psykiska hälsa, liksom sjukdom och frånvaroorsak, inte nödvändig för ändamålet. Vidare har företaget inte vidtagit nödvändiga tekniska säkerhetsåtgärder genom att tillåta behandling av känsliga personuppgifter utan tvåfaktorsautentisering. AP beslutade därför att bötfälla CP&A med 15 000 euro för brott mot artiklarna 9 och 32 GDPR.