Tribunal administratif du Grand-Duché de Luxembourg (TA Luxembourg) konstaterar att Commission Nationale pour la Protection des Données (CNPD) vägran att ingripa inte medfört någon kränkning av den registrerades personliga rättigheter enligt dataskyddsförordningen (GDPR).
Av domen framgår att en registrerad upptäckt att ett amerikanskt företag samlat in personuppgifter om honom och marknadsfört dem på sin webbplats. Den registrerade kontaktade företaget om detta, som svarade med ett automatiserat meddelande där han ombads fylla i ett formulär för identitetsverifiering för att kunna behandla hans begäran.
Den registrerade begärde att CNPD skulle beordra företaget att tillmötesgå hans begäran. Han ansåg att företaget brutit mot artikel 15 GDPR genom att inte hantera hans begäran om tillgång korrekt och artikel 27 GDPR genom att inte ha en etablering i EU. CNPD bad den registrerade att tillhandahålla korrespondens med företaget. CNPD informerade den registrerade om att myndigheten inte kommer hantera hans begäran eftersom företaget var baserad i USA och CNPD hade därför inte befogenhet att införa åtgärder enligt GDPR.
Den registrerade, företrädd av noyb, överklagade CNPD:s beslut till TA Luxemburg. Den registrerade ansåg att han hade rätt att agera enligt artikel 78 GDPR, särskilt eftersom hans uppgifter fortfarande fanns kvar på företagets webbplats. Han hävdade att han skadats av CNPD beslut att inte gå vidare med hans begäran. Den registrerade hävdade också att CNPD brutit mot artikel 77 GDPR.
TA Luxembourg konstaterade att CNPD begärt ytterligare information från den registrerade och kommunicerat med honom via e-post. CNPD hade även lämnat förklaringar till varför myndigheten inte fullföljt sin utredning. CNPD hade därför de facto behandlat klagomålet och hade inte brutit mot artikel 77 GDPR. TA Luxembourg konstaterade även att artikel 57 (f) GDPR inte innebär en skyldighet för CNPD att inleda en utredning eller använda sina verkställighetsbefogenheter så snart en personuppgiftsansvarig är föremål för ett klagomål.
TA Luxembourg ansåg därför att fallet måste analyseras enligt artikel 78 GDPR. I detta avseende ansåg TA Luxemburg att CNPD:s brev där den registrerade informerades om att den inte skulle inleda ett förfarande mot företaget inte direkt påverkade den registrerades personliga och ekonomiska situation.
När det gäller företagets överträdelser av artikel 27 GDPR, ansåg TA Luxembourg att det faktum att företaget inte hade någon etablering i EU inte utgjorde en överträdelse av den registrerades rätt till dataskydd utan endast kunde utgöra ett hinder för utövandet av hans rättigheter. När det gäller artikel 15 GDPR ansåg TA Luxembourg att den registrerade inte bevisat att han hindrats från att utöva sina rättigheter. Företagets automatiska svar innehöll en e-postadress som han kunde ha kontaktat. Enligt TA Luxembourg innebar detta att den registrerade inte kunde åberopa en överträdelse av artiklarna 15 och 27 GDPR som skulle fortsätta genom att CNPD vägrade att ingripa.
Sammanfattningsvis konstaterade TA Luxembourg att CNPD vägran att ingripa inte medfört någon kränkning av den registrerades personliga rättigheter. Talan kunde därför inte tas upp till sakprövning.