New substantial sanctions pronounced by the CNPD
The National Commission for Data Protection (“Commission Nationale pour la Protection des Données” “CNPD”) has published new decisions [1] pronouncing substantial fines and/or corrective measures for non-compliance with the provisions of the GDPR [2].
Below a summary of the latest breaches and sanctions pronounced by the regulatory authority:
Right to erasure ‘Right to be forgotten’
| Breach | Sanction pronounced |
| Failure to respect the data subject’s right to erasure of his/her personal data | Administrative fine of 1,000 EUR Injunction to proceed, within one month, to the definitive deletion of the claimant’s personal data, accompanied by a penalty of 100 euros per day of delay as of one month following notification of the decision |
Survey campaign launched by the CNPD on the function of the Data Protection Officer (“DPO”)
| Breaches | Sanction pronounced |
| Failure to communicate the DPO’s contact details to the regulatory authority Failure to provide information and advice to the DPO Failure to involve the DPO in all matters relating to the protection of personal data Failure to ensure the autonomy of the DPO Failure to fulfil the DPO’s regulatory role Failure to comply with the DPO’s supervisory task Failure to publish the DPO’s contact details |
Administrative fines of 15,400 EUR and 18,700 EUR Injunction to ensure compliance within a period of 4 months |
Decisions taken by the regulatory authority may be appealed within three months of their notification to the company. The appeal must be brought before the Administrative Court and must be submitted through a qualified lawyer (“Avocat à la Cour”).
The “Data Protection” Department deals with compliance, data protection infringement proceedings and possible appeals against decisions taken against the company.
[1] Decisions taken by the CNPD are available under the following address: https://cnpd.public.lu/fr/decisions-sanctions.html.
[2] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.
Nouvelles sanctions importantes prononcées par la CNPD
La Commission Nationale pour la Protection des Données « CNPD » a publié de nouvelles décisions [1] prononçant des amendes importantes et/ou des mesures correctrices pour non-respect des dispositions du RGPD [2].
Ci-dessous un récapitulatif des derniers manquements constatés et sanctions prononcées par l’autorité de contrôle :
Droit à l’effacement de la personne concernée « Droit à l’oubli »
| Manquement constaté | Sanction prononcée |
| Manquement à l’obligation de respecter le droit à l’effacement de la personne concernée de ses données à caractère personnel | Amende administrative de 1.000 EUR Injonction de procéder, dans un délai d’un mois, à l’effacement définitif des données à caractère personnel du réclamant, assorti d’une astreinte de 100 euros par jour de retard à compter d’un délai d’un mois suite à la notification de la décision |
Campagne d’enquête thématique lancée par la CNPD sur la fonction du délégué à la protection des données (« DPD »)
| Manquements constatés | Sanction prononcée |
| Manquement à l’obligation de communiquer les coordonnées du DPD à l’autorité de contrôle Manquement relatif à la mission d’information et de conseil du DPD Manquement à l’obligation d’associer le DPD à toutes les questions relatives à la protection des données à caractère personnel Manquement à l’obligation de garantir l’autonomie du DPD Manquement relatif à la mission de contrôle du DPD Manquement à l’obligation de publier les coordonnées du DPD |
Amende administrative de 15.400 EUR à 18.700 EUR Injonction de mise en conformité dans un délai de 4 mois |
Les décisions prises par l’autorité de contrôle peuvent faire l’objet d’un recours en réformation dans les trois mois qui suivent leur notification à l’entreprise. Le recours doit être porté devant le Tribunal administratif et doit obligatoirement être introduit par le biais d’un avocat à la Cour.
Le département « Protection des données » gère la mise en conformité, les procédures de mise en cause pour violation en matière de protection des données et les recours éventuels contre les décisions prises à l’encontre de l’entreprise.
[1] Les décisions prises par la CNPD sont disponibles à l’adresse suivante : https://cnpd.public.lu/fr/decisions-sanctions.html.
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
Neue erhebliche Sanktionen seitens der CNPD
Die nationale Kommission für Datenschutz (CNPD) hat neue Entscheidungen veröffentlicht [1], in welchen sie Geldstrafen und/oder Korrekturmaßnahmen wegen Missachtung der Bestimmungen der DSGVO [2] ausgesprochen hat.
Untenstehend eine Übersicht der festgestellten Verstöße und die von der CNPD verhängten Sanktionen:
Recht auf Löschung der betroffenen Person „Recht auf Vergessenwerden“
| Festgestellter Verstoß | Strafe |
| Nichteinhaltung des Rechts auf Löschung der personenbezogenen Daten | Bußgeld in Höhe von 1.000 EUR Anordnung, die personenbezogenen Daten des Klägers innerhalb einer Frist von einem Monat endgültig zu löschen, unter Androhung der Zahlung von Zwangsgeld in Höhe von 100 Euro pro Tag der Verzögerung nach Ablauf einer Frist von einem Monat nach Zustellung der Entscheidung |
Umfragekampagne der CNPD über die Funktion des Datenschutzbeauftragten („DSB“) Verstoß gegen die Pflicht, die Kontaktdaten des DSB an die Aufsichtsbehörde zu übermitteln
| Festgestellte Verstöße | Strafe |
| Verletzung im Zusammenhang mit der Informations- und Beratungsaufgabe des DSB Verstoß gegen die Pflicht, den DSB in allen Fragen im Zusammenhang mit dem Schutz von personenbezogenen Daten einzubeziehen Verstoß gegen die Pflicht zur Gewährleistung der Unabhängigkeit des DSB Verstoß im Zusammenhang mit der Aufsichtsfunktion des DSB Verstoß gegen die Pflicht, die Kontaktdaten des DSB zu veröffentlichen |
Bußgeld in Höhe von 15.400 EUR bis 18.700 EUR Anordnung zur Beachtung der Bestimmungen innerhalb einer Frist von 4 Monaten |
Gegen die Entscheidungen der Aufsichtsbehörde kann innerhalb einer Frist von drei Monaten nach Zustellung der Entscheidung an das Unternehmen eine Klage (recours en réformation) eingereicht werden. Die Klage muss vor dem Verwaltungsgericht und zwingend über einen in Luxemburg ansässigen Anwalt eingereicht werden.
Unsere Abteilung “Datenschutz” setzt sich mit der Einhaltung der Vorschriften auseinander, sowie mit den Verfahren zur Feststellung von Datenschutzverstößen und möglichen Rechtsbehelfen gegen Entscheidungen, die gegen Unternehmen ausgesprochen wurden.
[1] Die Entscheidungen der CNPD sind unter folgendem Link abrufbar: https://cnpd.public.lu/fr/decisions-sanctions.html.
[2] Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.