Η εποπτική αρχή του Λουξεμβούργου αρνείται να δείξει τα δόντια της στις αμερικανικές εταιρείες

GDPR: Ένας νόμος χωρίς εξουσία; Η εποπτική αρχή προστασίας δεδομένων του Λουξεμβούργου αρνείται να δείξει τα δόντια της στις αμερικανικές εταιρείες. Η noyb καταθέτει αγωγή στο δικαστήριο

Σήμερα, η noyb άσκησε έφεση κατά δύο αποφάσεων της Αρχής Προστασίας Δεδομένων του Λουξεμβούργου (CNPD) ενώπιον του διοικητικού δικαστηρίου του Λουξεμβούργου για ένα θεμελιώδες ζήτημα: η αρχή απέρριψε δύο καταγγελίες που υποβλήθηκαν κατά των υπευθύνων επεξεργασίας δεδομένων με έδρα τις ΗΠΑ, Apollo και RocketReach. Η CNPD επιβεβαίωσε ρητά ότι ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) ισχύει για αυτές τις εταιρείες εκτός ΕΕ. Ωστόσο, η CNPD έκρινε ότι δεν μπορούσε να επιβάλει τον GDPR κατά αυτών των υπευθύνων επεξεργασίας των ΗΠΑ, παρά τις πολλαπλές επιλογές επιβολής εντός της ΕΕ. Αυτές οι αποφάσεις υπονομεύουν ριζικά την εφαρμογή του GDPR σε όλες τις ξένες εταιρείες στην αγορά της ΕΕ - μια βασική υπόσχεση του νόμου όταν θεσπίστηκε το 2018.

• Διαβάστε τις πράξεις έφεσης ενώπιον του διοικητικού δικαστηρίου εδώ (Apollo FR) και εδώ (Rocktreach FR) .
• Μπορείτε επίσης να διαβάσετε μια αυτοματοποιημένη μετάφραση στα Αγγλικά εδώ (Apollo) και εδώ (Rocketreach) .  

Αρχικές καταγγελίες στην CNPD. Ο καταγγέλλων, κάτοικος Λουξεμβούργου, ανακάλυψε ότι τα δεδομένα του υποβάλλονταν σε επεξεργασία από την Apollo και την RocketReach, δύο εταιρείες με έδρα τις ΗΠΑ που συλλέγουν και εμπορευματοποιούν προσωπικά δεδομένα που είναι διαθέσιμα στο διαδίκτυο. Αφού είδε αυτό, ο καταγγέλλων προσπάθησε να ασκήσει τα δικαιώματα πρόσβασης (Άρθρο 15) και διαγραφής (Άρθρο 17) που απορρέουν από τον ΓΚΠΔ, χωρίς επιτυχία. Καθώς οι δύο υπεύθυνοι επεξεργασίας δεδομένων δεν απάντησαν επαρκώς στο αίτημά του για άσκηση των δικαιωμάτων του ΓΚΠΔ, ο καταγγέλλων υπέβαλε καταγγελίες κατά τόσο της Apollo όσο και της RocketReach ενώπιον της CNPD. Μετά από αρκετές υπενθυμίσεις από τον καταγγέλλοντα, η ΑΠΔ του Λουξεμβούργου απέρριψε την καταγγελία με το απλό σκεπτικό ότι οι υπεύθυνοι επεξεργασίας δεδομένων δεν είχαν εκπρόσωπο στην ΕΕ (κάτι που από μόνο του αποτελεί παραβίαση του ΓΚΠΔ) και ότι, ως εκ τούτου, δεν μπορούσαν να επιβληθούν αποτελεσματικά μέτρα επιβολής κατά αυτών των υπευθύνων επεξεργασίας δεδομένων. Δεν διεξήχθη καμία ουσιαστική έρευνα και δεν ελήφθη καμία απόφαση.

Υπονόμευση της διεθνούς εμβέλειας του ΓΚΠΔ. Η απόφαση της ΑΠΔΠ του Λουξεμβούργου να απορρίψει τις καταγγελίες απλώς και μόνο επειδή ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στην ΕΕ, υπονομεύει σαφώς τη διεθνή εφαρμογή του ΓΚΠΔ, η οποία αποτελούσε βασική υπόσχεση προς τους πολίτες της ΕΕ κατά την εισαγωγή του. Ο νόμος καλύπτει ρητά όλες τις εταιρείες που δραστηριοποιούνται στην ευρωπαϊκή αγορά - ανεξάρτητα από την έδρα τους.

«Εάν οι Αρχές Προστασίας Δεδομένων αρνούνται να επιβάλουν τον ΓΚΠΔ κάθε φορά που μια εταιρεία δεν έχει παρουσία στην ΕΕ, αυτό θα έδινε απλώς το σήμα στις εταιρείες να παραμείνουν στο εξωτερικό για να παρακάμψουν τον νόμο... Αυτή είναι η εκδοχή του ΓΚΠΔ για να γλιτώσει κανείς ατιμώρητος για φόνο» – Romain Robert, δικηγόρος στο noyb.eu.

Επιβολή του ΓΚΠΔ. Ακόμα και όταν μια εταιρεία δεν έχει παρουσία στην ΕΕ, είναι απολύτως εφικτό να κινηθεί μια διαδικασία και να επιβληθούν οι διατάξεις του ΓΚΠΔ. Εάν μια εταιρεία δεν υποβάλει παρατηρήσεις, συνήθως απλώς παραιτείται από το δικαίωμά της να ακουστεί. Υπάρχουν αρκετές διαδικαστικές οδοί για την εκτέλεση μιας απόφασης κατά μιας ξένης οντότητας: από παραδοσιακά εργαλεία, όπως η δέσμευση περιουσιακών στοιχείων σε τρίτους (όπως τράπεζες ή πελάτες), μέχρι πιο σύγχρονες προσεγγίσεις όπως ο αποκλεισμός ενός ιστότοπου. Οι Αρχές Προστασίας Δεδομένων (ΑΠΔ) θα πρέπει να χρησιμοποιούν όλες τις δυνατότητες που παρέχει η εθνική τους νομοθεσία για την επιβολή των αποφάσεών τους, αντί να παραιτούνται από τα θεμελιώδη δικαιώματα.

«Η CNPD έχει καθήκον να διασφαλίζει την προστασία των ατομικών δικαιωμάτων βάσει του ΓΚΠΔ. Διαθέτει επίσης τα μέσα για να το πράξει για τις ξένες εταιρείες, από τη δέσμευση περιουσιακών στοιχείων στην ΕΕ έως την παρεμπόδιση μιας υπηρεσίας. Η επιβολή του δικαίου της ΕΕ κατά εταιρειών και ατόμων που δεν συνεργάζονται ή κρύβονται στο εξωτερικό δεν είναι κάτι καινούργιο για τις ρυθμιστικές αρχές και τα δικαστήρια. Η απόκρυψη σε άλλη δικαιοδοσία είναι τόσο παλιά όσο και τα σύνορα. Υπάρχουν ωστόσο εργαλεία για να προχωρήσει μια υπόθεση. Το νόημα της προσφυγής στο δικαστήριο τώρα είναι να διασφαλιστεί ότι η CNPD θα χρησιμοποιήσει πράγματι τις εξουσίες επιβολής του νόμου στο μέλλον και δεν θα απορρίπτει πλέον μια υπόθεση μόνο και μόνο επειδή η επιβολή του νόμου θα ήταν πολύ δύσκολη ή επαχθής.» -   Catherine Warin, δικηγόρος που εκπροσωπεί τον noyb στη διαδικασία.

Ανενεργές Αρχές Προστασίας Δεδομένων (ΑΠΔ): Αυτή η υπόθεση δείχνει ότι ορισμένες Αρχές Προστασίας Δεδομένων εξακολουθούν να μην εκτελούν τα καθήκοντά τους. Δεν θα έπρεπε και δεν θα τη γλιτώσουν. Αυτή μπορεί να είναι η αρχή μιας σειράς ενεργειών κατά των Αρχών Προστασίας Δεδομένων που παραμένουν ανενεργές παρά τον κρίσιμο ρόλο που διαδραματίζουν στη διασφάλιση του σεβασμού της νομοθεσίας της ΕΕ για την προστασία δεδομένων. Η noyb θα παρακολουθεί στενά τέτοιες υποθέσεις και θα παρακολουθεί την αποτελεσματική εφαρμογή του ΓΚΠΔ από τις Αρχές Προστασίας Δεδομένων.

«Η CNPD επιβεβαίωσε ρητά ότι ο ΓΚΠΔ εφαρμοζόταν σε αυτές τις εταιρείες, αλλά αποφάσισε να μην ενεργήσει ισχυριζόμενη ότι δεν μπορούσε να επιβάλει καμία απόφαση. Αυτό άφησε τον καταγγέλλοντα χωρίς καμία διαδικασία για την επιβολή των θεμελιωδών δικαιωμάτων του. Η CNPD έκρινε ότι ήταν δική της εξουσία να απορρίψει απλώς μια υπόθεση. Ευτυχώς, ο ΓΚΠΔ ορίζει ότι τα άτομα θα πρέπει να έχουν αποτελεσματική προσφυγή και μπορούν να προσβάλουν τις αποφάσεις των Αρχών Προστασίας Δεδομένων ενώπιον των δικαστηρίων. Τώρα θα ζητήσουμε από το δικαστήριο να κάνει τη δουλειά που η CNPD αρνήθηκε να κάνει.» – Romain Robert, δικηγόρος στην noyb.eu.

Εκσυγχρονίζω:

• 21 Απριλίου 2023 - το διοικητικό δικαστήριο (πρωτοβάθμιο δικαστήριο) κήρυξε την υπόθεση απαράδεκτη λόγω έλλειψης νομιμοποίησης.
• 28 Νοεμβρίου 2023 - Το Ανώτερο Διοικητικό Δικαστήριο τάχθηκε υπέρ της noyb . Ακύρωσε την απόφαση της 21ης Απριλίου 2023 και έκρινε ότι η έφεση ήταν παραδεκτή. Ανέπεμψε την υπόθεση στο πρωτοβάθμιο διοικητικό δικαστήριο, το οποίο τελικά έπρεπε να εκδώσει απόφαση.
• 24 Σεπτεμβρίου 2024 - το διοικητικό δικαστήριο έκρινε ότι η CNPD αποφάσισε παράνομα/λανθασμένα να μην συνεχίσει την εξέταση της καταγγελίας. Επέστρεψε την υπόθεση στην CNPD για να την εξετάσει.
• Το CNPD δεν έχει ακόμη εκδώσει απόφαση.