Nouvelles sanctions importantes prononcées par la CNPD – 9 décembre 2021

KLEYR GRASSO > Newsletter > Nouvelles sanctions importantes prononcées par la CNPD – 9 décembre 2021

Nouvelles sanctions importantes prononcées par la CNPD – 9 décembre 2021

Nouvelles sanctions importantes prononcées par la CNPD


La Commission Nationale pour la Protection des Données « CNPD » a publié de nouvelles décisions [1] prononçant des amendes importantes et/ou des mesures correctrices pour non-respect des dispositions du RGPD [2].


Ci-dessous un récapitulatif des derniers manquements constatés et sanctions prononcées par l’autorité de contrôle :

Droit à l’effacement de la personne concernée « Droit à l’oubli »
Manquement constatéSanction prononcée
Manquement à l’obligation de respecter le droit à l’effacement de la personne concernée de ses données à caractère personnelAmende administrative de 1.000 EUR

Injonction de procéder, dans un délai d’un mois, à l’effacement définitif des données à caractère personnel du réclamant, assorti d’une astreinte de 100 euros par jour de retard à compter d’un délai d’un mois suite à la notification de la décision
Campagne d’enquête thématique lancée par la CNPD sur la fonction du délégué à la protection des données (« DPD »)
Manquements constatésSanction prononcée
Manquement à l’obligation de communiquer les coordonnées du DPD à l’autorité de contrôle

Manquement relatif à la mission d’information et de conseil du DPD

Manquement à l’obligation d’associer le DPD à toutes les questions relatives à la protection des données à caractère personnel

Manquement à l’obligation de garantir l’autonomie du DPD

Manquement relatif à la mission de contrôle du DPD

Manquement à l’obligation de publier les coordonnées du DPD
Amende administrative de 15.400 EUR à 18.700 EUR

Injonction de mise en conformité dans un délai de 4 mois

Les décisions prises par l’autorité de contrôle peuvent faire l’objet d’un recours en réformation dans les trois mois qui suivent leur notification à l’entreprise. Le recours doit être porté devant le Tribunal administratif et doit obligatoirement être introduit par le biais d’un avocat à la Cour.


Le département « Protection des données » gère la mise en conformité, les procédures de mise en cause pour violation en matière de protection des données et les recours éventuels contre les décisions prises à l’encontre de l’entreprise.


[1] Les décisions prises par la CNPD sont disponibles à l’adresse suivante : https://cnpd.public.lu/fr/decisions-sanctions.html.
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.


Neue erhebliche Sanktionen seitens der CNPD

Die nationale Kommission für Datenschutz (CNPD) hat neue Entscheidungen veröffentlicht [1], in welchen sie Geldstrafen und/oder Korrekturmaßnahmen wegen Missachtung der Bestimmungen der DSGVO [2] ausgesprochen hat.


Untenstehend eine Übersicht der festgestellten Verstöße und die von der CNPD verhängten Sanktionen:

Recht auf Löschung der betroffenen Person „Recht auf Vergessenwerden“
Festgestellter VerstoßStrafe
Nichteinhaltung des Rechts auf Löschung der personenbezogenen DatenBußgeld in Höhe von 1.000 EUR

Anordnung, die personenbezogenen Daten des Klägers innerhalb einer Frist von einem Monat endgültig zu löschen, unter Androhung der Zahlung von Zwangsgeld in Höhe von 100 Euro pro Tag der Verzögerung nach Ablauf einer Frist von einem Monat nach Zustellung der Entscheidung
Umfragekampagne der CNPD über die Funktion des Datenschutzbeauftragten („DSB“) Verstoß gegen die Pflicht, die Kontaktdaten des DSB an die Aufsichtsbehörde zu übermitteln
Festgestellte VerstößeStrafe
Verletzung im Zusammenhang mit der Informations- und Beratungsaufgabe des DSB

Verstoß gegen die Pflicht, den DSB in allen Fragen im Zusammenhang mit dem Schutz von personenbezogenen Daten einzubeziehen

Verstoß gegen die Pflicht zur Gewährleistung der Unabhängigkeit des DSB

Verstoß im Zusammenhang mit der Aufsichtsfunktion des DSB

Verstoß gegen die Pflicht, die Kontaktdaten des DSB zu veröffentlichen
Bußgeld in Höhe von 15.400 EUR bis 18.700 EUR

Anordnung zur Beachtung der Bestimmungen innerhalb einer Frist von 4 Monaten

Gegen die Entscheidungen der Aufsichtsbehörde kann innerhalb einer Frist von drei Monaten nach Zustellung der Entscheidung an das Unternehmen eine Klage (recours en réformation) eingereicht werden. Die Klage muss vor dem Verwaltungsgericht und zwingend über einen in Luxemburg ansässigen Anwalt eingereicht werden.


Unsere Abteilung “Datenschutz” setzt sich mit der Einhaltung der Vorschriften auseinander, sowie mit den Verfahren zur Feststellung von Datenschutzverstößen und möglichen Rechtsbehelfen gegen Entscheidungen, die gegen Unternehmen ausgesprochen wurden.


[1] Die Entscheidungen der CNPD sind unter folgendem Link abrufbar: https://cnpd.public.lu/fr/decisions-sanctions.html.
[2] Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.


New substantial sanctions pronounced by the CNPD

The National Commission for Data Protection (“Commission Nationale pour la Protection des Données” “CNPD”) has published new decisions [1] pronouncing substantial fines and/or corrective measures for non-compliance with the provisions of the GDPR [2].


Below a summary of the latest breaches and sanctions pronounced by the regulatory authority:

Right to erasure ‘Right to be forgotten’
BreachSanction pronounced
Failure to respect the data subject’s right to erasure of his/her personal dataAdministrative fine of 1,000 EUR

Injunction to proceed, within one month, to the definitive deletion of the claimant’s personal data, accompanied by a penalty of 100 euros per day of delay as of one month following notification of the decision
Survey campaign launched by the CNPD on the function of the Data Protection Officer (“DPO”)
BreachesSanction pronounced
Failure to communicate the DPO’s contact details to the regulatory authority

Failure to provide information and advice to the DPO

Failure to involve the DPO in all matters relating to the protection of personal data

Failure to ensure the autonomy of the DPO

Failure to fulfil the DPO’s regulatory role

Failure to comply with the DPO’s supervisory task

Failure to publish the DPO’s contact details
Administrative fines of 15,400 EUR and 18,700 EUR

Injunction
to ensure compliance within a period of 4 months

Decisions taken by the regulatory authority may be appealed within three months of their notification to the company. The appeal must be brought before the Administrative Court and must be submitted through a qualified lawyer (“Avocat à la Cour”).


The “Data Protection” Department deals with compliance, data protection infringement proceedings and possible appeals against decisions taken against the company.


[1] Decisions taken by the CNPD are available under the following address: https://cnpd.public.lu/fr/decisions-sanctions.html.
[2] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.