Den italienska dataskyddsmyndigheten fick in ett klagomål från en individ gällande sin tidigare arbetsgivare för bristande efterlevnad av GDPR. Den klagande hade begärt tillgång till sin personliga prestationsutvärdering. Trots flera försök att få svar från företaget, inklusive att skicka e-post till både den allmänna e-postadressen och en HR-chef, samt påminnelser, erhöll han inget svar. Den klagande skickade sedan sin begäran till företagets utsedda dataskyddsombud som bekräftade att HR-avdelningen skulle hantera begäran och tillhandahålla informationen. Trots detta dröjde det ytterligare tid utan svar innan klaganden bad dataskyddsmyndigheten att tvinga företaget att efterkomma begäran.
Företaget hävdade att de första två e-posterna inte skickades till dataskyddsombudets officiella e-postadress och att den begärda informationen redan var känd för den klagande från en feedback-intervju. Myndigheten avvisade dock dessa argument då klaganden inte informerades om att begäran skulle skickas till dataskyddsombudets specifika adress, och när informationen tillslut tillhandahölls visade det sig att HR-avdelningen var ansvarig för sådana begäran.
Myndigheten konstaterade att företaget brustit i att tillhandahålla den begärda informationen i tid och i enlighet med rätten till tillgång enligt GDPR. Myndigheten betonade att GDPR tillåter att begäran om tillgång kan göras även för information som redan är känd för den registrerade, och att flera begäran kan göras såvida de inte är överdrivna eller repetitiva. Företaget ålades därför en böter på €30,000 för dessa överträdelser.