GDPR: Закон без правомощия? Люксембургският орган за защита на данните отказва да покаже зъбите си на американските компании. noyb завежда съдебно дело
Днес, noyb подаде жалба срещу две решения на люксембургския орган за защита на данните (CNPD) пред административния съд на Люксембург по основен въпрос: органът е отхвърлил две жалби, подадени срещу базирани в САЩ администратори на данни - Apollo и RocketReach. CNPD изрично потвърди, че Общият регламент относно защитата на данните (ОРЗД) се прилага за тези дружества извън ЕС. Въпреки това CNPD счете, че не може да приложи GDPR срещу тези администратори от САЩ, въпреки множеството възможности за прилагане в рамките на ЕС. Тези решения фундаментално подкопават прилагането на ОРЗД към всички чуждестранни дружества на пазара на ЕС - ключово обещание на закона при въвеждането му през 2018 г.
- Прочетете актовете за обжалване пред административния съд тук (Apollo FR) и тук (Rocktreach FR).
- Можете да прочетете и автоматичен превод на английски език тук (Apollo) и тук (Rocketreach).
Първоначални жалби до CNPD. Жалбоподателят, жител на Люксембург, открива, че данните му се обработват от Apollo и RocketReach - две базирани в САЩ дружества, които събират и използват за търговски цели лични данни, достъпни онлайн. След като видял това, жалбоподателят се опитал безуспешно да упражни правата си на достъп (член 15) и на изтриване (член 17) по ОРЗД. Тъй като двамата администратори на данни не са отговорили адекватно на искането му за упражняване на правата му по GDPR, жалбоподателят е подал жалби срещу Apollo и RocketReach пред CNPD. След неколкократни напомняния от страна на жалбоподателя ДНЗД в Люксембург отхвърля жалбата само на основание, че администраторите на данни нямат представител в ЕС (което само по себе си е нарушение на ОРЗД) и че следователно срещу тези администратори на данни не могат да бъдат наложени ефективни мерки за изпълнение. Не е било предприето разследване по същество и не е било формирано решение.
Подкопаване на международния обхват на ОРЗД. Решението на люксембургския ОЗД да отхвърли жалбите само защото администраторът не е установен в ЕС, очевидно подкопава международното приложение на ОРЗД, което беше основно обещание към гражданите на ЕС при въвеждането му. Законът изрично обхваща всички дружества, които извършват дейност на европейския пазар - без значение къде са установени.
"Ако органите за защита на данните отказват да прилагат GDPR всеки път, когато дадено дружество няма присъствие в ЕС, това само ще даде сигнал на дружествата да останат в чужбина, за да заобиколят закона... Това е версията на GDPR за измъкване от отговорност с убийство" - Ромен Робер, адвокат в noyb.eu.
Прилагане на GDPR. Дори когато дадено дружество няма присъствие в ЕС, е напълно възможно да се проведе процедура и да се приложат разпоредбите на GDPR. Ако дадено дружество не подаде заявления, то обикновено просто се отказва от правото си да бъде изслушано. Съществуват няколко процесуални възможности за изпълнение на решение и срещу чуждестранно образувание: от традиционни инструменти, като замразяване на активи на трети страни (като банки или клиенти), до по-модерни подходи, като блокиране на уебсайт. Органите за защита на данните следва да използват всички възможности, предвидени в националното им законодателство, за да изпълняват решенията си, вместо да се отказват от основните права.
"ДНЗД има задължението да гарантира, че индивидуалните права съгласно ОРЗД са защитени. Тя разполага и със средствата да направи това за чуждестранните дружества - от замразяване на активи в ЕС до блокиране на услуга. Прилагането на правото на ЕС срещу дружества и лица, които не сътрудничат или се крият в чужбина, не е нещо ново за регулаторните органи и съдилищата. Скриването в друга юрисдикция е старо като границите. Въпреки това има инструменти за водене на дела. Смисълът на това да се обърнем към съда сега е да гарантираме, че CNPD действително ще използва правомощията си за правоприлагане в бъдеще и вече няма да отхвърля случай само защото правоприлагането би било твърде трудно или обременително." - Катрин Уарин, адвокат, представляващ noyb в процедурата.
Неактивни споразумения за предоставяне на информация: Този случай показва, че някои ОЗД все още не изпълняват задълженията си. Това не бива и няма да им се размине. Това може да е началото на поредица от действия срещу ОЗД, които остават неактивни, въпреки решаващата роля, която играят в осигуряването на спазването на правото на ЕС за защита на данните. noyb ще следи отблизо подобни случаи и ще следи за ефективното прилагане на ОРЗД от страна на органите за защита на данните.
"ДНЗД изрично потвърди, че GDPR е приложим за тези дружества, но реши да не предприема действия, твърдейки, че не може да изпълни нито едно решение. Това остави жалбоподателя без никаква процедура за прилагане на основните му права. CNPD считаше, че в неговите правомощия е просто да отхвърли даден случай. За щастие ОРЗД предвижда, че физическите лица следва да разполагат с ефективно средство за защита и могат да оспорват решенията на ДЗД пред съдилищата. Сега ще поискаме от съда да свърши работата, която CNPD е отказал да свърши" - Ромен Робер, адвокат в noyb.eu.
Актуализация:
- 21 април 2023 г. - административният съд (първоинстанционният съд) обявява делото за недопустимо поради липса на процесуална легитимация.
- 28 ноември 2023 г. - Висшият административен съд застава на страната на noyb. Той отменя решението от 21 април 2023 г. и счита, че жалбата е допустима. Той връща делото на първоинстанционния административен съд, който в крайна сметка трябва да се произнесе с решение.
- 24 септември 2024 г. - административният съд счита, че CNPD незаконно/неправилно е взел решение да не продължи разглеждането на жалбата. Той връща делото на CNPD, за да го разгледа.
- cNPD все още не е издал решение.
