GDPR: Ένας νόμος χωρίς αρχή; Ο παρατηρητής προστασίας δεδομένων του Λουξεμβούργου αρνείται να δείξει τα δόντια του σε αμερικανικές εταιρείες. noyb ασκεί δικαστική υπόθεση.

Ιαν 25, 2021

GDPR: Ένας νόμος χωρίς αρχή; Ο παρατηρητής προστασίας δεδομένων του Λουξεμβούργου αρνείται να δείξει τα δόντια του σε αμερικανικές εταιρείες. noyb ασκεί δικαστική υπόθεση.

Σήμερα, ο noyb άσκησε έφεση κατά δύο αποφάσεων της Αρχής Προστασίας Δεδομένων του Λουξεμβούργου (CNPD) ενώπιον του διοικητικού δικαστηρίου του Λουξεμβούργου για θεμελιώδες ζήτημα: η αρχή απέρριψε δύο καταγγελίες που υποβλήθηκαν εναντίον υπευθύνων επεξεργασίας δεδομένων με έδρα τις ΗΠΑ, τον Apollo και το RocketReach. Το CNPD επιβεβαίωσε ρητά ότι ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) εφαρμόζεται σε αυτές τις εταιρείες εκτός ΕΕ. Ωστόσο, το CNPD θεώρησε ότι δεν μπορούσε να επιβάλει τον GDPR εναντίον αυτών των ελεγκτών των ΗΠΑ, παρά τις πολλαπλές επιλογές επιβολής εντός της ΕΕ. Αυτές οι αποφάσεις υπονομεύουν ουσιαστικά την εφαρμογή του ΑΕΠ R σε όλες τις ξένες εταιρείες στην αγορά της ΕΕ - μια βασική υπόσχεση του νόμου όταν θεσπίστηκε το 2018.

Αρχικές καταγγελίες στο CNPD: Ο καταγγέλλων, κάτοικος του Λουξεμβούργου, ανακάλυψε ότι τα δεδομένα του υποβλήθηκαν σε επεξεργασία από τους Apollo και RocketReach, δύο εταιρείες με έδρα τις ΗΠΑ που συλλέγουν και εμπορευματοποιούν προσωπικά δεδομένα διαθέσιμα στο διαδίκτυο. Έχοντας δει αυτό, ο καταγγέλλων προσπάθησε να ασκήσει τα δικαιώματα πρόσβασης του GDPR (άρθρο 15) και τη διαγραφή (άρθρο 17) χωρίς επιτυχία. Καθώς οι δύο υπεύθυνοι επεξεργασίας δεδομένων δεν απάντησαν επαρκώς στο αίτημά του να ασκήσει τα δικαιώματά του GDPR, ο καταγγέλλων υπέβαλε καταγγελίες κατά του Apollo και του RocketReach ενώπιον του CNPD. Μετά από αρκετές υπενθυμίσεις από τον καταγγέλλοντα, το DPA του Λουξεμβούργου απέρριψε την καταγγελία μόνο και μόνο επειδή οι υπεύθυνοι επεξεργασίας δεδομένων δεν είχαν εκπρόσωπο στην ΕΕ (το οποίο από μόνο του αποτελεί παραβίαση του GDPR) και ότι, ως εκ τούτου, δεν θα μπορούσαν να ληφθούν αποτελεσματικά μέτρα επιβληθεί σε αυτούς τους υπευθύνους επεξεργασίας δεδομένων. Δεν πραγματοποιήθηκε ουσιώδης έρευνα και δεν ελήφθη απόφαση.

Υπονομεύοντας τη διεθνή εμβέλεια του GDPR: Η απόφαση του DPA του Λουξεμβούργου να απορρίψει τις καταγγελίες μόνο και μόνο επειδή ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στην ΕΕ, υπονομεύει σαφώς τη διεθνή εφαρμογή του GDPR, η οποία ήταν μια βασική υπόσχεση για τους πολίτες της ΕΕ κατά την εισαγωγή της. Ο νόμος καλύπτει ρητά όλες τις εταιρείες που δραστηριοποιούνται στην ευρωπαϊκή αγορά - ανεξάρτητα από το πού βρίσκονται.

«Εάν οι DPA αρνούνται να επιβάλουν το GDPR κάθε φορά που μια εταιρεία δεν έχει παρουσία στην ΕΕ, αυτό θα έδινε απλώς το μήνυμα στις εταιρείες να παραμείνουν στο εξωτερικό για να παρακάμψουν το νόμο… Αυτή είναι η εκδοχή του GDPR για να ξεφύγεις από τη δολοφονία» - Romain Robert, δικηγόρος στο noyb.eu.

Επιβολή του GDPR. Ακόμη και όταν μια εταιρεία δεν έχει παρουσία στην ΕΕ, είναι απολύτως δυνατό να διεξαχθεί μια διαδικασία και να επιβληθούν οι διατάξεις του GDPR. Εάν μια εταιρεία δεν υποβάλλει παρατηρήσεις, συνήθως απλώς παραιτούνται από το δικαίωμά τους να ακουστούν. Υπάρχουν αρκετές διαδικαστικές δυνατότητες για την επιβολή μιας απόφασης κατά μιας ξένης οντότητας: από παραδοσιακά εργαλεία, όπως δέσμευση περιουσιακών στοιχείων με τρίτα μέρη (όπως τράπεζες ή πελάτες), έως και πιο σύγχρονες προσεγγίσεις, όπως το μπλοκάρισμα ενός ιστότοπου. Οι ΑΠΔ θα πρέπει να χρησιμοποιούν όλες τις δυνατότητες βάσει της εθνικής τους νομοθεσίας για την επιβολή των αποφάσεών τους, αντί να παραιτηθούν από τα θεμελιώδη δικαιώματα.

«Το CNPD έχει καθήκον να διασφαλίζει ότι προστατεύονται τα ατομικά δικαιώματα βάσει του GDPR. Έχει επίσης τα μέσα να το πράξει για ξένες εταιρείες, από το πάγωμα περιουσιακών στοιχείων στην ΕΕ, μέχρι το μπλοκάρισμα μιας υπηρεσίας. Η επιβολή της νομοθεσίας της ΕΕ εναντίον εταιρειών και ατόμων που δεν συνεργάζονται ή δεν κρύβονται στο εξωτερικό δεν είναι νέο πράγμα για τις ρυθμιστικές αρχές και τους δικαστές. Η απόκρυψη σε άλλη δικαιοδοσία είναι τόσο παλιά όσο τα σύνορα. Υπάρχουν ωστόσο εργαλεία για να προχωρήσετε σε μια υπόθεση. Το σημείο να προσφύγετε τώρα στο δικαστήριο είναι να διασφαλίσετε ότι το CNPD θα χρησιμοποιήσει πραγματικά τις εξουσίες επιβολής του στο μέλλον και δεν θα απορρίψει πλέον μια υπόθεση μόνο και μόνο επειδή η εκτέλεση θα ήταν πολύ δύσκολη ή επαχθής ». -   Η Catherine Warin, δικηγόρος που εκπροσωπεί το noyb στη διαδικασία.

Ανενεργά DPA: Αυτή η περίπτωση δείχνει ότι ορισμένα DPA εξακολουθούν να κοιμούνται στα καθήκοντά τους. Δεν πρέπει και δεν θα ξεφύγουν από αυτό. Αυτό μπορεί να είναι η αρχή μιας σειράς ενεργειών κατά των ΑΠΔ που παραμένουν ανενεργές παρά τον κρίσιμο ρόλο που διαδραματίζουν στη διασφάλιση του σεβασμού της νομοθεσίας της ΕΕ για την προστασία των δεδομένων. Η noyb θα παρακολουθεί στενά τέτοιες περιπτώσεις και θα παρακολουθεί την αποτελεσματική επιβολή του GDPR από τις DPA.

«Το CNPD επιβεβαίωσε ρητά ότι ο GDPR ισχύει για αυτές τις εταιρείες, αλλά αποφάσισε να μην ενεργήσει ισχυριζόμενος ότι δεν μπορούσε να επιβάλει καμία απόφαση. Αυτό άφησε τον καταγγέλλοντα χωρίς καμία διαδικασία για την επιβολή των θεμελιωδών δικαιωμάτων του. Το CNPD θεώρησε ότι ήταν αρμοδιότητά του απλώς να απορρίψει μια υπόθεση. Ευτυχώς, ο GDPR προβλέπει ότι τα άτομα πρέπει να έχουν μια αποτελεσματική θεραπεία και μπορούν να αμφισβητήσουν τις αποφάσεις των DPA ενώπιον των δικαστηρίων. Τώρα θα ζητήσουμε από το δικαστήριο να κάνει τη δουλειά που το CNPD αρνήθηκε να κάνει. " - Romain Robert, δικηγόρος στο noyb.eu.