Стражът на Люксембург отказва да покаже зъбите си на американски компании

Jan 25, 2021

GDPR: Закон без правомощия? Надзорният орган за защита на данните в Люксембург отказва да покаже зъбите си на американски компании. noyb завежда съдебно дело

Днес noyb подаде жалба срещу две решения на Люксембургския орган за защита на данните (CNPD) пред административния съд в Люксембург по основен въпрос: властта отхвърли две жалби, подадени срещу базираните в САЩ администратори на данни, Apollo и RocketReach. CNPD изрично потвърди, че Общият регламент за защита на данните (GDPR) се прилага за тези дружества извън ЕС. CNPD обаче счита, че не може да наложи GDPR срещу тези американски контролери, въпреки многобройните възможности за прилагане в рамките на ЕС. Тези решения коренно подкопават прилагането на GDP R за всички чуждестранни компании на пазара на ЕС - ключово обещание на закона, когато беше въведен през 2018 г.

Първоначални жалби до CNPD. Жалбоподателят, жител на Люксембург, открива, че данните му са обработени от Apollo и RocketReach, две базирани в САЩ компании, които събират и комерсиализират лични данни, достъпни онлайн. След като видя това, жалбоподателят се опита да упражни своите GDPR права на достъп (член 15) и изтриване (член 17) без успех. Тъй като двамата администратори на данни не отговориха адекватно на искането му за упражняване на неговите права съгласно GDPR, жалбоподателят подаде жалби срещу Apollo и RocketReach пред CNPD. След няколко напомняния от жалбоподателя, люксембургският ОЗД отхвърли жалбата само на основание, че администраторите на данни нямат представител в ЕС (което само по себе си е нарушение на ОРЗД) и че следователно не могат да бъдат приложени ефективни мерки за прилагане да бъдат наложени срещу тези администратори на данни. Не е предприето материално разследване и не е образувано решение.

Подкопаване на международния обхват на GDPR. Решението на DPA от Люксембург да отхвърли жалбите само защото администраторът не е установен в ЕС, очевидно подкопава международното прилагане на GDPR, което беше ключово обещание за гражданите на ЕС, когато беше въведено. Законът изрично обхваща всички компании, които оперират на европейския пазар - независимо къде се намират.

„Ако DPA откажат да наложат GDPR всеки път, когато дадена компания няма присъствие в ЕС, това просто ще даде сигнал на компаниите да останат в чужбина, за да заобиколят закона ... Това е версията на GDPR за избягване с убийството“ - Ромен Робърт, адвокат на noyb.eu.

Прилагане на GDPR. Дори когато дадено дружество няма присъствие в ЕС, е напълно възможно да се проведе процедура и да се приложат разпоредбите на GDPR. Ако дадена компания не прави изявления, те обикновено просто се отказват от правото си да бъдат изслушани. Съществуват няколко процедурни възможности за изпълнение на решение срещу чуждестранно лице: от традиционни инструменти, като замразяване на активи с трети страни (като банки или клиенти), до по-модерни подходи като блокирането на уебсайт. ОЗД трябва да използват всички възможности съгласно националното си законодателство, за да изпълняват своите решения, вместо да се отказват от основните права.

„CNPD има задължението да гарантира, че индивидуалните права съгласно GDPR са защитени. Той също така разполага със средства за чуждестранни компании, от замразяване на активи в ЕС, чак до блокиране на услуга. Прилагането на законодателството на ЕС срещу компании и хора, които не си сътрудничат или се крият в чужбина, не е нещо ново за регулаторите и съдилищата. Скриването в друга юрисдикция е старо колкото границите. Въпреки това има инструменти за продължаване на дадено дело. Смисълът да се обърнем към съда сега е да се гарантира, че CNPD ще използва действително правомощията си за изпълнение в бъдеще и вече няма да прекратява дело, само защото изпълнението би било твърде трудно или обременително. " -   Катрин Уорин, адвокат, представляващ noyb в процедурата.

Неактивни DPAs: Този случай показва, че някои DPAs продължават да спазват своите задължения. Те не трябва и няма да се измъкнат. Това може да е началото на поредица от действия срещу ОЗД, които остават неактивни, въпреки решаващата роля, която играят за осигуряване на спазването на законодателството на ЕС за защита на данните. noyb ще следи отблизо такива случаи и ще наблюдава ефективното прилагане на GDPR от DPA.

„CNPD изрично потвърди, че GDPR е приложим за тези компании, но реши да не действа, като твърди, че не може да приложи никакво решение. Това остави жалбоподателя без процедура за прилагане на основните му права. CNPD счита, че е нейна сила просто да отхвърли даден случай. За щастие GDPR предвижда, че хората трябва да имат ефективно средство за защита и да могат да оспорват решенията на съдебните органи пред съдилищата. Сега ще поискаме от съда да свърши работата, която CNPD отказа да направи. “ - Ромен Робърт, адвокат в noyb.eu.