Luxemburgin vahtikoira kieltäytyy osoittamasta hampaitaan yhdysvaltalaisille yrityksille

Jan 25, 2021

GDPR: Laki ilman auktoriteettia? Luxemburgin tietosuojavalvoja kieltäytyy osoittamasta hampaitaan yhdysvaltalaisille yrityksille. noyb jättää oikeudenkäynnin

Tänään kukaan ei valittanut Luxemburgin tietosuojaviranomaisen (CNPD) kahteen päätökseen Luxemburgin hallintotuomioistuimessa perustavanlaatuisesta asiasta: viranomainen hylkäsi kaksi yhdysvaltalaisiin rekisterinpitäjiin, Apolloon ja RocketReachiin tehtyjä valituksia. CNPD vahvisti nimenomaisesti , että yleistä tietosuoja-asetusta (GDPR) sovelletaan näihin EU: n ulkopuolisiin yrityksiin. CNPD katsoi kuitenkin, ettei se voinut panna GDPR: ää täytäntöön näitä Yhdysvaltain rekisterinpitäjiä vastaan huolimatta monista täytäntöönpanovaihtoehdoista EU: ssa. Nämä päätökset heikentävät perusteellisesti BKT: n soveltamista kaikkiin ulkomaisiin yrityksiin EU: n markkinoilla - mikä on lain keskeinen lupaus, kun se otettiin käyttöön vuonna 2018.

Ensimmäiset valitukset CNPD: lle. Kantelija, luxemburgilainen, huomasi, että hänen tietojaan käsittelivät Apollo ja RocketReach, kaksi yhdysvaltalaista yritystä, jotka keräävät ja kaupallistavat verkossa saatavilla olevia henkilötietoja. Tämän nähdessään kantelija yritti käyttää GDPR-oikeuksiaan tutustua (15 artikla) ja poistaa tietoja (17 artikla) ilman menestystä. Koska molemmat rekisterinpitäjät eivät vastanneet riittävästi pyyntöön käyttää GDPR-oikeuksiaan, kantelija teki valitukset sekä Apollosta että RocketReachista CNPD: lle. Useiden kantelijan muistutusten jälkeen Luxemburgin tietosuojaviranomainen hylkäsi valituksen pelkästään sillä perusteella, että rekisterinpitäjillä ei ollut edustajaa EU: ssa (mikä itsessään on GDPR: n vastaista) ja että siksi tehokkaita täytäntöönpanotoimenpiteitä ei voitu näitä rekisterinpitäjiä vastaan. Materiaalitutkimusta ei tehty eikä päätöstä tehty.

Vaarantaa GDPR: n kansainvälisen ulottuvuuden. Luxemburgin tietosuojaviranomaisen päätös hylätä valitukset pelkästään siksi, että rekisterinpitäjää ei ole sijoittautunut EU: hun, heikentää selvästi GDPR: n kansainvälistä soveltamista, mikä oli keskeinen lupaus EU: n kansalaisille sen käyttöönoton yhteydessä. Laki kattaa nimenomaisesti kaikki yritykset, jotka toimivat Euroopan markkinoilla riippumatta siitä, missä ne sijaitsevat.

"Jos tietosuojaviranomaiset kieltäytyvät noudattamasta GDPR: ää joka kerta, kun yrityksellä ei ole läsnäoloa EU: ssa, se vain antaa yrityksille signaalin jäädä ulkomaille ohittamaan lain ... Se on GDPR-versio murhasta pääsemisestä" - Romain Robert, asianajaja osoitteessa noyb.eu.

GDPR: n täytäntöönpano. Silloinkin kun yrityksellä ei ole toimipaikkaa EU: ssa, on täysin mahdollista suorittaa menettely ja panna täytäntöön GDPR: n määräykset. Jos yritys ei tee huomautuksia, ne yleensä yksinkertaisesti luopuvat oikeudestaan tulla kuulluksi. On olemassa useita menettelytapoja, joilla myös ulkomaista yksikköä koskeva päätös pannaan täytäntöön: perinteisistä työkaluista, kuten varojen jäädyttämisestä kolmansien osapuolten (kuten pankkien tai asiakkaiden) kanssa, aina nykyaikaisempiin lähestymistapoihin, kuten verkkosivuston estämiseen. Tietosuojaviranomaisten olisi käytettävä kaikkia kansallisen lainsäädäntönsä mukaisia mahdollisuuksia päätösten täytäntöönpanoon sen sijaan, että luopuisivat perusoikeuksista.

”CNPD: llä on velvollisuus varmistaa, että GDPR: n mukaiset yksilön oikeudet suojataan. Sillä on myös keinot tehdä niin ulkomaisille yrityksille, varojen jäädyttämisestä EU: ssa aina palvelun estämiseen asti. EU: n lainsäädännön täytäntöönpano yrityksiä ja ihmisiä vastaan, jotka eivät tee yhteistyötä tai piiloutuvat ulkomailla, ei ole uusi asia sääntelyviranomaisille ja tuomioistuimille. Piiloutuminen toisella lainkäyttöalueella on yhtä vanhaa kuin rajat. Siellä on kuitenkin työkaluja tapauksen käsittelyyn. Oikeudenkäynnin tarkoitus on nyt varmistaa, että CNPD käyttää todellisuudessa täytäntöönpanovaltuuksiaan tulevaisuudessa, eikä enää hylkää tapausta vain siksi, että täytäntöönpano olisi liian vaikeaa tai rasittavaa. " -   Catherine Warin, asianajaja, joka edustaa ketään menettelyssä.

Passiiviset tietosuojaviranomaiset: Tämä tapaus osoittaa, että jotkut tietosuojaviranomaiset edelleen nukkuvat tehtävissään. Heidän ei pitäisi eikä tule pääsemään siitä. Tämä voi olla alku toimille tietosuojaviranomaisia vastaan, jotka eivät ole aktiivisia huolimatta ratkaisevasta roolistaan EU: n tietosuojalainsäädännön noudattamisen varmistamisessa. kukaan ei seuraa tarkkaan tällaisia tapauksia ja seuraa, että tietosuojaviranomaiset valvovat GDPR: n tehokasta täytäntöönpanoa.

"CNPD vahvisti nimenomaisesti, että GDPR oli sovellettavissa näihin yrityksiin, mutta päätti olla toimimatta väittäen, ettei se voinut panna täytäntöön mitään päätöstä. Tämä jätti kantelijan ilman menettelyä perusoikeuksiensa valvomiseksi. CNPD katsoi, että sillä oli valta yksinkertaisesti hylätä tapaus. Onneksi GDPR: n mukaan yksilöillä on oltava tehokas oikeussuojakeino ja he voivat riitauttaa tietosuojaviranomaisten päätökset tuomioistuimissa. Pyydämme nyt tuomioistuinta tekemään työn, jonka CNPD kieltäytyi tekemästä. " - Romain Robert, asianajaja noyb.eu:ssa .