GDPR: Laki ilman valtuuksia? Luxemburgin tietosuojaviranomainen kieltäytyy näyttämästä hampaitaan yhdysvaltalaisille yrityksille. noyb nostaa kanteen tuomioistuimessa
Tänään, noyb jätti Luxemburgin hallintotuomioistuimeen valituksen Luxemburgin tietosuojaviranomaisen (CNPD) kahdesta päätöksestä, jotka koskivat perustavanlaatuista asiaa: viranomainen hylkäsi kaksi valitusta, jotka oli tehty yhdysvaltalaisia rekisterinpitäjiä, Apolloa ja RocketReachia, vastaan. CNPD vahvisti nimenomaisesti, että yleistä tietosuoja-asetusta (GDPR) sovelletaan näihin EU:n ulkopuolisiin yrityksiin. CNPD katsoi kuitenkin, että se ei voinut panna yleistä tietosuoja-asetusta täytäntöön näitä yhdysvaltalaisia rekisterinpitäjiä vastaan, vaikka EU:ssa on useita täytäntöönpanovaihtoehtoja. Nämä päätökset heikentävät perusteellisesti yleisen tietosuoja-asetuksen soveltamista kaikkiin ulkomaisiin yrityksiin EU:n markkinoilla - mikä oli lain keskeinen lupaus, kun se otettiin käyttöön vuonna 2018.
- Lue hallintotuomioistuimessa tehtyjen valitusten asiakirjat täältä (Apollo FR) ja täältä (Rocktreach FR).
- Voit lukea myös automaattisen käännöksen englanniksi täältä (Apollo) ja täällä (Rocketreach).
Ensimmäiset valitukset CNPD:lle. Luxemburgissa asuva kantelija havaitsi, että hänen tietojaan käsittelivät Apollo ja RocketReach, kaksi yhdysvaltalaista yritystä, jotka keräävät ja kaupallistavat verkossa saatavilla olevia henkilötietoja. Nähtyään tämän kantelija yritti käyttää tietosuoja-asetuksen mukaisia oikeuksiaan saada pääsy tietoihin (15 artikla) ja poistaa ne (17 artikla) tuloksetta. Koska molemmat rekisterinpitäjät eivät vastanneet asianmukaisesti hänen pyyntöönsä käyttää tietosuoja-asetuksen mukaisia oikeuksiaan, kantelija teki kantelun sekä Apollosta että RocketReachista CNPD:hen. Kantelijan useiden muistutusten jälkeen Luxemburgin tietosuojavaltuutettu hylkäsi kantelun pelkästään sillä perusteella, että rekisterinpitäjillä ei ollut edustajaa EU:ssa (mikä jo itsessään on yleisen tietosuoja-asetuksen rikkominen) ja että sen vuoksi kyseisiä rekisterinpitäjiä vastaan ei voitu määrätä tehokkaita täytäntöönpanotoimia. Asiallisia tutkimuksia ei tehty eikä päätöstä tehty.
Yleisen tietosuoja-asetuksen kansainvälisen ulottuvuuden heikentäminen. Luxemburgin tietosuojaviranomaisen päätös hylätä kantelut pelkästään sillä perusteella, että rekisterinpitäjä ei ole sijoittautunut EU:hun, heikentää selvästi tietosuoja-asetuksen kansainvälistä soveltamista, joka oli keskeinen lupaus EU:n kansalaisille, kun se otettiin käyttöön. Laki kattaa nimenomaisesti kaikki yritykset, jotka toimivat Euroopan markkinoilla - riippumatta siitä, missä ne ovat sijoittautuneet.
"Jos tietosuojaviranomaiset kieltäytyvät panemasta GDPR:ää täytäntöön aina, kun yritys ei ole läsnä EU:ssa, se vain antaisi yrityksille signaalin jäädä ulkomaille lain kiertämiseksi... Se on GDPR:n versio murhasta selviytymisestä." - Romain Robert, asianajaja noyb.eu.
GDPR:n täytäntöönpano. Vaikka yrityksellä ei olisi toimipaikkaa EU:ssa, on täysin mahdollista toteuttaa menettely ja panna GDPR:n säännökset täytäntöön. Jos yritys ei esitä huomautuksia, se yleensä yksinkertaisesti luopuu oikeudestaan tulla kuulluksi. Ulkomaista yksikköä vastaan tehdyn päätöksen täytäntöönpanemiseksi on olemassa useita menettelytapoja: perinteisistä välineistä, kuten varojen jäädyttämisestä kolmansille osapuolille (kuten pankeille tai asiakkaille), aina nykyaikaisempiin lähestymistapoihin, kuten verkkosivuston estämiseen. Tietosuojaviranomaisten olisi käytettävä kaikkia kansallisen lainsäädäntönsä tarjoamia mahdollisuuksia päätöstensä täytäntöönpanemiseksi sen sijaan, että ne luopuisivat perusoikeuksista.
"CNPD:llä on velvollisuus varmistaa, että tietosuoja-asetuksen mukaisia yksilön oikeuksia suojellaan. Sillä on myös keinot tehdä se ulkomaisten yritysten osalta, varojen jäädyttämisestä EU:ssa aina palvelun estämiseen asti. EU-lainsäädännön täytäntöönpano yrityksiä ja henkilöitä vastaan, jotka eivät tee yhteistyötä tai piileskelevät ulkomailla, ei ole uusi asia sääntelyviranomaisille ja tuomioistuimille. Piiloutuminen toiselle lainkäyttöalueelle on yhtä vanhaa kuin rajat. Tapauksen käsittelyyn on kuitenkin olemassa välineitä. Oikeuteen menemisen tarkoitus on nyt varmistaa, että CNPD todella käyttää täytäntöönpanovaltuuksiaan tulevaisuudessa eikä enää hylkää tapausta vain siksi, että täytäntöönpano olisi liian vaikeaa tai hankalaa." - Catherine Warin, asianajaja, joka edustaa noyb menettelyssä.
Epäaktiiviset DPA-sopimukset: Tämä tapaus osoittaa, että jotkin tietosuojaviranomaiset nukkuvat edelleen velvollisuuksiaan. Niiden ei pitäisi eikä tule selvitä siitä. Tämä voi olla alku useille toimille sellaisia tietosuojaviranomaisia vastaan, jotka eivät toimi, vaikka niillä on ratkaiseva rooli EU:n tietosuojalainsäädännön noudattamisen varmistamisessa. noyb seuraa tiiviisti tällaisia tapauksia ja valvoo, että tietosuojaviranomaiset valvovat tietosuoja-asetuksen tehokasta täytäntöönpanoa.
"CNPD vahvisti nimenomaisesti, että tietosuoja-asetusta sovelletaan näihin yrityksiin, mutta päätti olla toimimatta väittäen, ettei se voi panna päätöstä täytäntöön. Näin kantelija jäi ilman mitään menettelyä perusoikeuksiensa valvomiseksi. CNPD katsoi, että sen toimivaltaan kuului yksinkertaisesti hylätä tapaus. Onneksi tietosuoja-asetuksessa säädetään, että yksityishenkilöillä on oltava tehokas oikeussuojakeino ja että he voivat riitauttaa tietosuojaviranomaisten päätökset tuomioistuimessa. Pyydämme nyt tuomioistuinta tekemään sen työn, josta CNPD kieltäytyi." - Romain Robert, lakimies, noyb.eu.
Päivitys:
- 21. huhtikuuta 2023 - hallintotuomioistuin (ensimmäisen oikeusasteen tuomioistuin) jätti asian tutkimatta, koska se ei ollut toimivaltainen.
- 28. marraskuuta 2023 - ylempi hallinto-oikeus asettui seuraavalle kannalle noyb. Se kumosi 21. huhtikuuta 2023 tehdyn päätöksen ja katsoi, että valitus voitiin ottaa tutkittavaksi. Se palautti asian ensimmäisen asteen hallinto-oikeudelle, jonka oli viime kädessä annettava päätös.
- 24. syyskuuta 2024 - hallintotuomioistuin katsoi, että CNPD päätti laittomasti/väärin perustein olla jatkamatta valituksen käsittelyä. Se palautti asian CNPD:n käsiteltäväksi.
- cNPD ei ole vielä antanut päätöstä.
