La DPA du Luxembourg (CNPD) a infligé une amende de 2 600 euros à une entreprise. Le contrôleur avait installé un système de vidéosurveillance pour protéger les actifs de l'entreprise et empêcher l'entrée de personnes non autorisées. Cependant, les caméras ont également capturé de manière excessive des parties de la cantine qui sert de lieu de pause pour les employés. La DPA estime que l'enregistrement des salariés pendant leur pause n'est pas nécessaire pour assurer les finalités liées à la vidéosurveillance et était donc disproportionné. La DPA constate que le responsable du traitement a ainsi violé le principe de minimisation des données en vertu de l'article 5 (1) c) GDPR. En outre, le responsable du traitement n'avait pas correctement informé les personnes concernées du traitement des données par la vidéosurveillance et avait ainsi violé son obligation d'information.