Substantial sanctions pronounced by the CNPD: warning about compliance with the provisions of the GDPR!
The National Commission for Data Protection (“Commission Nationale pour la Protection des Données” “CNPD”) has recently published [1] new decisions pronouncing substantial fines and/or corrective measures due to non-compliance with the provisions of the GDPR [2].
Below a summary of the breaches and the sanctions pronounced by the regulatory authority since March 2021:
Video surveillance and/or geolocation
| Breache(s) | Sanction(s) pronounced |
| Failure to comply with the principle of limitation of data retention Failure to comply with the principle of data minimisation (e.g. disproportionate field of vision) Insufficient information to data subjects (e.g. employees, customers, suppliers etc.) Failure to put in place appropriate security measures |
Administrative fines between 1,000 EUR and 12,500 EUR Injunction to ensure compliance of the processing within a period of 2 to 3 months |
Survey campaign launched by the CNPD on the function of the Data Protection Officer (“DPO”)
| Breache(s) | Sanction(s) pronounced |
| Failure to appoint the DPO on the basis of his/her professional qualifications Failure to communicate the DPO’s contact details to the regulatory authority Failure to involve the DPO in all matters relating to the protection of personal data Failure to provide the necessary resources to the DPO Failure to provide information and advice to the DPO Failure to ensure the autonomy of the DPO Failure to fulfil the DPO’s regulatory role Failure to ensure that the DPO’s other tasks and duties do not lead to a conflict of interest |
Administrative fines between 6,600 EUR and 18,000 EUR Injunction to ensure compliance within a period of4 months |
Personal data Breach
| Breache(s) | Sanction(s) pronounced |
| Failure to document a personal data breach Failure to put in place appropriate security measures Failure to ensure the security of personal data processing Failure to notify a personal data breach to the regulatory authority Failure to communicate the contact details of the DPO to the CNPD |
Administrative fine of 135,000 EUR Injunction to ensure compliance within a period of2 months |
Decisions taken by the regulatory authority may be appealed within three months of their notification to the company. The appeal must be brought before the Administrative Court and must be submitted through a qualified lawyer (“Avocat à la Cour”).
The “Data Protection” Department deals with compliance, data protection infringement proceedings and possible appeals against decisions taken against the company.
[1] Decisions taken by the CNPD are available under the following address: https://cnpd.public.lu/fr/decisions-sanctions.html.
[2] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.
Sanctions importantes prononcées par la CNPD : mise en garde quant au respect des dispositions du RGPD !
La Commission Nationale pour la Protection des Données « CNPD » a récemment publié [1] de nouvelles décisions prononçant des amendes importantes et/ou des mesures correctrices pour non-respect des dispositions du RGPD [2].
Ci-dessous un récapitulatif de l’ensemble des manquements constatés et des sanctions prononcées par l’autorité de contrôle depuis mars 2021 :
Vidéosurveillance et/ou géolocalisation
| Manquement(s) constaté(s) | Sanction(s) prononcée(s) |
| Non-respect du principe de limitation de la conservation des données Non-respect du principe de minimisation des données (not. champ de vision disproportionné) Information insuffisante des personnes concernées (not. des salariés, des clients, des fournisseurs etc.) Défaut de mise en place de mesures de sécurité appropriées |
Amendes administratives allant de 1.000 EUR à 12.500 EUR Injonction de mise en conformité du traitement dans des délais allant de 2 à 3 mois |
Campagne d’enquête thématique lancée par la CNPD sur la fonction du délégué à la protection des données (« DPD »)
| Manquement(s) constaté(s) | Sanction(s) prononcée(s) |
| Manquement à l’obligation de désigner le DPD sur la base de ses qualités professionnelles Manquement à l’obligation de communiquer les coordonnées du DPD à l’autorité de contrôle Manquement à l’obligation d’associer le DPD à toutes les questions relatives à la protection des données à caractère personnel Manquement à l’obligation de fournir les ressources nécessaires au DPD Manquement relatif à la mission d’information et de conseil du DPD Manquement à l’obligation de garantir l’autonomie du DPD Manquement relatif à la mission de contrôle du DPD Manquement relatif à l’obligation de veiller à ce que les autres missions et tâches du DPD n’entrainent pas de conflit d’intérêts |
Amende administrative allant de 6.600 EUR à 18.000 EUR Injonction de mise en conformité dans un délai de 4 mois |
Violation de données à caractère personnel
| Manquement(s) constaté(s) | Sanction(s) prononcée(s) |
| Manquement lié à l’obligation de documenter une violation de données à caractère personnel Défaut de mise en place de mesures de sécurité appropriées Manquement lié à l’obligation de garantir la sécurité des traitements de données à caractère personnel Manquement lié à l’obligation de notifier une violation de données à caractère personnel à l’autorité de contrôle Manquement à l’obligation de communiquer les coordonnées du DPO à la CNPD |
Amende administrative de 135.000 EUR Injonction de mise en conformité dans un délai de 2 mois |
Les décisions prises par l’autorité de contrôle peuvent faire l’objet d’un recours en réformation dans les trois mois qui suivent leur notification à l’entreprise. Le recours doit être porté devant le Tribunal administratif et doit obligatoirement être introduit par le biais d’un avocat à la Cour.
Le département « Protection des données » gère la mise en conformité, les procédures de mise en cause pour violation en matière de protection des données et les recours éventuels contre les décisions prises à l’encontre de l’entreprise.
[1] Les décisions prises par la CNPD sont disponibles à l’adresse suivante : https://cnpd.public.lu/fr/decisions-sanctions.html.
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
Erhebliche Sanktionen seitens der CNPD: Wichtigkeit der Einhaltung der Bestimmungen der DSGVO!
Die nationale Kommission für Datenschutz (CNPD) hat neulich Entscheidungen veröffentlicht [1], in welchen sie Geldstrafen und/oder Korrekturmaßnahmen wegen Missachtung der Bestimmungen der DSGVO [2] ausgesprochen hat.
Untenstehend eine Übersicht der festgestellten Verstöße und die von der CNPD seit März 2021 verhängten Sanktionen:
Videoüberwachung und/oder Geolokalisierung
| Festgestellte Verstöße | Strafen |
| Nichteinhaltung des Prinzips der Speicherbegrenzung der Daten Nichteinhaltung des Prinzips der Datenminimierung (z.B. unverhältnismäßige Sichtweise) Unzureichende Informationen der betroffenen Personen (z.B. der Arbeitnehmer, der Kunden, der Zulieferer etc.) Keine Einführung der angemessenen Sicherheitsmaßnahmen |
Bußgeld von 1.000 EUR bis 12.500 EUR Anordnung zur Beachtung der Bestimmungen innerhalb einer Frist von 2 bis 3 Monaten |
Umfragekampagne der CNPD über die Funktion des Datenschutzbeauftragten („DSB“)
| Festgestellte Verstöße | Strafen |
| Verstoß gegen die Pflicht den DSB auf der Grundlage seiner beruflichen Befugnisse zu bestellen Verstoß gegen die Pflicht, die Kontaktdaten des DSB an die Aufsichtsbehörde zu übermitteln Verstoß gegen die Pflicht, den DSB in allen Fragen im Zusammenhang mit dem Schutz von personenbezogenen Daten einzubeziehen Verstoß gegen die Pflicht, dem DSB alle notwendigen Ressourcen zur Verfügung zu stellen Verletzung im Zusammenhang mit der Informations- und Beratungsaufgabe des DSB Verstoß gegen die Pflicht zur Gewährleistung der Unabhängigkeit des DSB Verstoß gegen die Pflicht zur Vermeidung von Interessenkonflikte in der Ausführung der anderen Funktionen und Aufgaben des DSB |
Bußgeld von 6.600 EUR bis 18.000 EUR Anordnung zur Beachtung der Bestimmungen innerhalb einer Frist von 4 Monaten |
Verletzung von personenbezogenen Daten
| Festgestellte Verstöße | Strafen |
| Verstoß gegen die Pflicht, eine Verletzung der personenbezogenen Daten zu dokumentieren Versäumnis, angemessene Sicherheitsmaßnahmen einzuführen Verstoß gegen die Pflicht, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten Verstoß gegen die Pflicht, der Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten zu melden Verstoß gegen die Pflicht, der CNPD die Kontaktdaten des DSB zu übermitteln |
Bußgeld in Höhe von 135.000 EUR Anordnung zur Beachtung der Bestimmungen innerhalb einer Frist von 2 Monaten |
Gegen die Entscheidungen der Aufsichtsbehörde kann innerhalb einer Frist von drei Monaten nach Zustellung der Entscheidung an das Unternehmen eine Berufungsklage (recours en réformation) eingereicht werden. Die Klage muss vor dem Verwaltungsgericht und zwingend über einen in Luxemburg ansässigen Anwalt eingereicht werden.
Unsere Abteilung “Datenschutz” setzt sich mit der Einhaltung der Vorschriften auseinander, sowie mit den Verfahren zur Feststellung von Datenschutzverstößen und bei möglichen Rechtsbehelfen gegen Entscheidungen, die gegen das Unternehmen ausgesprochen wurden.
[1] Die Entscheidungen der CNPD sind unter folgendem Link abrufbar : https://cnpd.public.lu/fr/decisions-sanctions.html.
[2] Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.