GDPR: Zákon bez autority? Lucemburský úřad pro ochranu osobních údajů odmítá ukázat zuby na americké společnosti. noyb podává žalobu k soudu
Společnost noyb dnes podala u lucemburského správního soudu žalobu proti dvěma rozhodnutím lucemburského úřadu pro ochranu osobních údajů (CNPD) v zásadní věci: úřad zamítl dvě stížnosti podané proti správcům údajů z USA, společnostem Apollo a RocketReach. CNPD výslovněpotvrdil, že na tyto společnosti, které nejsou členy EU, se vztahuje obecné nařízení o ochraně osobních údajů (GDPR). CNPD se však domníval, že vůči těmto správcům z USA nemůže GDPR vymáhat, přestože má v rámci EU více možností vymáhání. Tato rozhodnutí zásadně podkopávají uplatňování GDPRna všechny zahraniční společnosti na trhu EU - což byl klíčový příslib zákona při jeho zavedení v roce 2018.
- Přečtěte si akty odvolání před správním soudem zde (Apollo FR) a zde (Rocktreach FR).
- Můžete si také přečíst automatizovaný překlad do angličtiny zde (Apollo) a zde (Rocketreach).
První stížnosti na CNPD. Stěžovatel, občan Lucemburska, zjistil, že jeho údaje zpracovávají společnosti Apollo a RocketReach, dvě společnosti se sídlem v USA, které shromažďují a komerčně využívají osobní údaje dostupné online. Po zjištění této skutečnosti se stěžovatel neúspěšně pokusil uplatnit svá práva na přístup (článek 15) a výmaz (článek 17) podle GDPR. Vzhledem k tomu, že oba správci údajů na jeho žádost o výkon práv podle GDPR adekvátně neodpověděli, podal stěžovatel stížnosti na společnosti Apollo a RocketReach u CNPD. Po několika upomínkách ze strany stěžovatele lucemburský orgán pro ochranu údajů stížnost zamítl pouze na základě toho, že správci údajů neměli v EU svého zástupce (což je samo o sobě porušením GDPR), a proto nebylo možné vůči těmto správcům údajů uložit žádná účinná donucovací opatření. Nebylo provedeno žádné věcné šetření a nebylo vydáno žádné rozhodnutí.
Oslabení mezinárodního dosahu nařízení GDPR. Rozhodnutí lucemburského orgánu pro ochranu údajů zamítnout stížnosti pouze proto, že správce údajů není usazen v EU, zjevně podkopává mezinárodní působnost nařízení GDPR, což byl klíčový slib občanům EU při jeho zavedení. Zákon se výslovně vztahuje na všechny společnosti, které působí na evropském trhu - bez ohledu na to, kde mají sídlo.
"Pokud orgány pro ochranu údajů odmítnou prosazovat GDPR pokaždé, když společnost není přítomna v EU, dá to jen signál společnostem, aby zůstaly v zahraničí a zákon obešly... To je verze GDPR, jak se vyhnout vraždě." - Romain Robert, právník noyb.eu.
Prosazování GDPR. I v případě, že společnost nemá v EU zastoupení, je zcela možné vést řízení a ustanovení GDPR vymáhat. Pokud společnost nepředloží návrhy, obvykle se jednoduše vzdá svého práva být vyslechnuta. Existuje několik procesních cest, jak rovněž vymáhat rozhodnutí vůči zahraničnímu subjektu: od tradičních nástrojů, jako je zmrazení majetku u třetích stran (například bank nebo zákazníků), až po modernější přístupy, jako je zablokování webových stránek. Orgány pro ochranu údajů by měly využívat všechny možnosti, které jim jejich vnitrostátní právo poskytuje k výkonu rozhodnutí, místo aby rezignovaly na základní práva.
"CNPD má povinnost zajistit ochranu individuálních práv podle GDPR. Má k tomu také prostředky pro zahraniční společnosti, od zmrazení majetku v EU až po zablokování služby. Vymáhání práva EU vůči společnostem a osobám, které nespolupracují nebo se skrývají v zahraničí, není pro regulační orgány a soudy novinkou. Skrývání se v jiné jurisdikci je staré jako hranice. Přesto existují nástroje, jak v případu postupovat. Smyslem toho, že se nyní obracíme na soud, je zajistit, aby CNPD v budoucnu skutečně využívala své donucovací pravomoci a neodmítala již případ jen proto, že by vymáhání bylo příliš obtížné nebo zatěžující." - Catherine Warin, právnička zastupující v řízení společnost noyb.
Neaktivní dohody o řešení sporů: Tento případ ukazuje, že někteří DPA stále spí na svých povinnostech. Nemělo by jim to procházet a neprojde. Může to být začátek řady žalob proti orgánům pro ochranu údajů, které zůstávají nečinné, přestože hrají zásadní roli při zajišťování dodržování právních předpisů EU o ochraně údajů. noyb bude tyto případy pozorně sledovat a monitorovat účinné prosazování GDPR ze strany orgánů pro ochranu údajů.
"CNPD výslovně potvrdil, že GDPR se na tyto společnosti vztahuje, ale rozhodl se nekonat s tvrzením, že nemůže žádné rozhodnutí vymáhat. Stěžovatel tak zůstal bez jakéhokoli postupu k prosazení svých základních práv. CNPD se domníval, že je v jeho pravomoci případ jednoduše zamítnout. Naštěstí GDPR stanoví, že fyzické osoby by měly mít k dispozici účinný opravný prostředek a mohou rozhodnutí orgánů pro ochranu údajů napadnout u soudu. Nyní požádáme soud, aby vykonal práci, kterou CNPD odmítl." -Romain Robert, právník společnosti noyb.eu.
