GDPR: Zákon bez autority? Lucemburský úřad pro ochranu osobních údajů odmítá ukázat zuby americkým společnostem. noyb podává žalobu k soudu
Dnes, noyb podala u lucemburského správního soudu odvolání proti dvěma rozhodnutím lucemburského úřadu pro ochranu osobních údajů (CNPD) v zásadní věci: úřad zamítl dvě stížnosti podané proti správcům údajů se sídlem v USA, společnostem Apollo a RocketReach. CNPD výslovně potvrdil, že na tyto společnosti, které nejsou členy EU, se vztahuje obecné nařízení o ochraně osobních údajů (GDPR). CNPD se však domníval, že vůči těmto správcům z USA nemůže GDPR vymáhat, přestože má v rámci EU více možností vymáhání. Tato rozhodnutí zásadně podkopávají uplatňování GDPR na všechny zahraniční společnosti na trhu EU - což byl klíčový příslib zákona při jeho zavedení v roce 2018.
- Přečtěte si akty odvolání před správním soudem zde (Apollo FR) a zde (Rocktreach FR).
- Můžete si také přečíst automatizovaný překlad do angličtiny zde (Apollo) a zde (Rocketreach).
První stížnosti na CNPD. Stěžovatel, občan Lucemburska, zjistil, že jeho údaje zpracovávají společnosti Apollo a RocketReach, dvě společnosti se sídlem v USA, které shromažďují a komerčně využívají osobní údaje dostupné online. Po zjištění této skutečnosti se stěžovatel neúspěšně pokusil uplatnit svá práva na přístup (článek 15) a výmaz (článek 17) podle GDPR. Vzhledem k tomu, že oba správci údajů na jeho žádost o výkon práv podle GDPR adekvátně neodpověděli, podal stěžovatel stížnosti na společnosti Apollo i RocketReach u CNPD. Po několika upomínkách ze strany stěžovatele lucemburský orgán pro ochranu údajů stížnost zamítl pouze na základě toho, že správci údajů nemají v EU svého zástupce (což je samo o sobě porušením GDPR), a že proto nelze vůči těmto správcům údajů uložit žádná účinná donucovací opatření. Nebylo provedeno žádné věcné šetření a nebylo vydáno žádné rozhodnutí.
Oslabení mezinárodního dosahu nařízení GDPR. Rozhodnutí lucemburského orgánu pro ochranu údajů zamítnout stížnosti pouze proto, že správce údajů není usazen v EU, zjevně podkopává mezinárodní působnost nařízení GDPR, což byl klíčový slib občanům EU při jeho zavedení. Zákon se výslovně vztahuje na všechny společnosti, které působí na evropském trhu - bez ohledu na to, kde mají sídlo.
"Pokud orgány pro ochranu údajů odmítnou prosazovat GDPR pokaždé, když společnost není přítomna v EU, jen tím dají signál společnostem, aby zůstaly v zahraničí a zákon obcházely... To je verze GDPR, jak se vyhnout vraždě." - Romain Robert, právník noyb.eu.
Prosazování GDPR. I v případě, že společnost nemá v EU zastoupení, je zcela možné vést řízení a ustanovení GDPR vymáhat. Pokud společnost nepředloží návrhy, obvykle se jednoduše vzdá svého práva být vyslechnuta. Existuje několik procesních cest, jak rovněž vymáhat rozhodnutí vůči zahraničnímu subjektu: od tradičních nástrojů, jako je zmrazení majetku u třetích stran (například bank nebo zákazníků), až po modernější přístupy, jako je zablokování webových stránek. Orgány pro ochranu údajů by měly využívat všechny možnosti, které jim jejich vnitrostátní právo poskytuje k výkonu rozhodnutí, místo aby rezignovaly na základní práva.
"CNPD má povinnost zajistit ochranu individuálních práv podle GDPR. Má k tomu také prostředky pro zahraniční společnosti, od zmrazení majetku v EU až po zablokování služby. Vymáhání práva EU vůči firmám a osobám, které nespolupracují nebo se skrývají v zahraničí, není pro regulační orgány a soudy novinkou. Skrývání se v jiné jurisdikci je staré jako hranice. Přesto existují nástroje, jak v případu postupovat. Smyslem toho, že se nyní obracíme na soud, je zajistit, aby CNPD v budoucnu skutečně využívala své donucovací pravomoci a neodmítala již případ jen proto, že by vymáhání bylo příliš obtížné nebo zatěžující." - Catherine Warinová, právnička zastupující noyb v řízení.
Neaktivní dohody o řešení sporů: Tento případ ukazuje, že některé orgány pro ochranu údajů stále spí na svých povinnostech. Nemělo by jim to procházet a neprojde. Může to být začátek řady žalob proti orgánům pro ochranu údajů, které zůstávají nečinné, přestože hrají zásadní roli při zajišťování dodržování práva EU v oblasti ochrany údajů. noyb bude tyto případy pozorně sledovat a monitorovat účinné prosazování GDPR ze strany orgánů pro ochranu údajů.
"CNPD výslovně potvrdil, že GDPR se na tyto společnosti vztahuje, ale rozhodl se nekonat s tvrzením, že nemůže žádné rozhodnutí vymáhat. Stěžovatel tak zůstal bez jakéhokoli postupu k prosazení svých základních práv. CNPD se domníval, že je v jeho pravomoci případ jednoduše zamítnout. Naštěstí GDPR stanoví, že fyzické osoby by měly mít k dispozici účinný opravný prostředek a mohou rozhodnutí orgánů pro ochranu údajů napadnout u soudu. Nyní požádáme soud, aby vykonal práci, kterou CNPD odmítl." - Romain Robert, právník společnosti noyb.eu.
Aktualizace: V roce 2015 se v rámci projektu "Zlepšení situace v oblasti ochrany osobních údajů" uskutečnila další aktualizace, která se týkala především ochrany osobních údajů v oblasti ochrany osobních údajů:
- 21. dubna 2023 - správní soud (soud prvního stupně) prohlásil věc za nepřípustnou z důvodu nedostatku aktivní legitimace.
- 28. listopadu 2023 - Nejvyšší správní soud se postavil na stranu noyb. Zrušil rozhodnutí ze dne 21. dubna 2023 a odvolání považoval za přípustné. Věc vrátil správnímu soudu prvního stupně, který nakonec musel vydat rozhodnutí.
- 24. září 2024 - správní soud měl za to, že CNPD nezákonně/nesprávně rozhodl o nepokračování ve vyřizování stížnosti. Vrátil věc CNPD k vyřízení.
- cNPD dosud nevydala rozhodnutí.
