GDPR: Joghatóság nélküli törvény? A luxemburgi adatvédelmi felügyelet nem hajlandó fogat mutatni az amerikai vállalatoknak. noyb bírósági keresetet nyújt be
A mai napon a noyb fellebbezést nyújtott be a luxemburgi adatvédelmi hatóság (CNPD) két határozata ellen a luxemburgi közigazgatási bírósághoz egy alapvető kérdésben: a hatóság elutasította az amerikai székhelyű adatkezelők, az Apollo és a RocketReach ellen benyújtott két panaszt. A CNPD kifejezettenmegerősítette, hogy az általános adatvédelmi rendelet (GDPR) vonatkozik ezekre a nem uniós vállalatokra. A CNPD azonban úgy ítélte meg, hogy az EU-n belüli több végrehajtási lehetőség ellenére sem tudja érvényesíteni a GDPR-t ezekkel az amerikai adatkezelőkkel szemben. Ezek a határozatok alapvetően aláássák a GDPR-nakaz uniós piacon működő valamennyi külföldi vállalatra való alkalmazását - ami a jogszabály egyik legfontosabb ígérete volt, amikor 2018-ban bevezették.
- Olvassa el a közigazgatási bíróság előtti fellebbezésről szóló jogi aktusokat itt (Apollo FR) és itt (Rocktreach FR).
- Automatizált fordítás is olvasható angolul itt (Apollo) és itt (Rocketreach).
Első panaszok a CNPD-hez. A panaszos, aki luxemburgi lakos, felfedezte, hogy adatait az Apollo és a RocketReach, két amerikai székhelyű vállalat kezeli, amelyek online elérhető személyes adatokat gyűjtenek és forgalmaznak. Ezt látva a panaszos sikertelenül próbált élni a GDPR szerinti hozzáférési (15. cikk) és törlési (17. cikk) jogával. Mivel a két adatkezelő nem válaszolt megfelelően a GDPR szerinti jogai gyakorlására irányuló kérelmére, a panaszos panaszt nyújtott be mind az Apollo, mind a RocketReach ellen a CNPD előtt. A panaszos többszöri felszólítását követően a luxemburgi adatvédelmi hatóság elutasította a panaszt pusztán azon az alapon, hogy az adatkezelőknek nincs képviselőjük az EU-ban (ami önmagában is a GDPR megsértését jelenti), és ezért nem lehet hatékony végrehajtási intézkedéseket elrendelni ezen adatkezelőkkel szemben. Nem került sor érdemi vizsgálatra és nem született határozat.
A GDPR nemzetközi hatályának aláásása. A luxemburgi adatvédelmi hatóság azon döntése, hogy a panaszokat pusztán azért utasította el, mert az adatkezelő nem az EU-ban székhellyel rendelkezik, egyértelműen aláássa a GDPR nemzetközi alkalmazását, amely a rendelet bevezetésekor az uniós polgároknak tett egyik legfontosabb ígéret volt. A jogszabály kifejezetten kiterjed az európai piacon működő valamennyi vállalatra - függetlenül attól, hogy hol van a székhelyük.
"Ha az adatvédelmi hatóságok minden olyan esetben megtagadják a GDPR érvényesítését, amikor egy vállalat nem rendelkezik jelenléttel az EU-ban, az csak azt a jelzést adná a vállalatoknak, hogy maradjanak külföldön, hogy megkerüljék a törvényt... Ez a GDPR változata annak, hogy megússzák a gyilkosságot " - Romain Robert, a noyb.eu ügyvédje.
A GDPR végrehajtása. Még ha egy vállalat nem is rendelkezik jelenléttel az EU-ban, akkor is tökéletesen lehetséges eljárást lefolytatni és érvényesíteni a GDPR rendelkezéseit. Ha egy vállalat nem nyújt be beadványokat, akkor általában egyszerűen lemond a meghallgatáshoz való jogáról. Számos eljárási lehetőség létezik arra is, hogy egy külföldi jogalany ellen is érvényt szerezzen egy határozatnak: a hagyományos eszközöktől, mint például a harmadik féllel (például bankokkal vagy ügyfelekkel) szembeni vagyonbefagyasztás, egészen az olyan modernebb megközelítésekig, mint például egy weboldal blokkolása. Az adatvédelmi hatóságoknak a nemzeti jog szerinti összes lehetőséget ki kellene használniuk a határozataik érvényesítésére, ahelyett, hogy lemondanának az alapvető jogokról.
"A CNPD-nek kötelessége biztosítani a GDPR szerinti egyéni jogok védelmét. Ehhez a külföldi vállalatok esetében is megvannak az eszközei, az EU-ban lévő vagyon befagyasztásától kezdve egészen egy szolgáltatás blokkolásáig. Az uniós jog érvényre juttatása a nem együttműködő vagy külföldön rejtőzködő vállalatokkal és személyekkel szemben nem újdonság a szabályozó hatóságok és bíróságok számára. A más joghatóság alá rejtőzés egyidős a határokkal. Mindazonáltal vannak eszközök az ügyek folytatásához. A bírósághoz fordulásnak most az a lényege, hogy a CNPD a jövőben valóban élni fog a végrehajtási hatáskörével, és többé nem utasít el egy ügyet csak azért, mert a végrehajtás túl nehéz vagy megterhelő lenne"." - Catherine Warin, a noyb-ot az eljárásban képviselő ügyvéd.
Inaktív DPA-k: Ez az ügy azt mutatja, hogy egyes adatvédelmi hatóságok még mindig alszanak a feladataik ellátása során. Ezt nem szabad és nem is fogják megúszni. Ez lehet a kezdete az olyan adatvédelmi hatóságok elleni eljárások sorozatának, amelyek annak ellenére inaktívak maradnak, hogy döntő szerepet játszanak az uniós adatvédelmi jogszabályok betartásának biztosításában. A noyb szorosan figyelemmel fogja kísérni az ilyen eseteket, és figyelemmel fogja kísérni a GDPR hatékony végrehajtását az adatvédelmi hatóságok által.
"A CNPD kifejezetten megerősítette, hogy a GDPR alkalmazandó ezekre a vállalatokra, de úgy döntött, hogy nem lép fel, arra hivatkozva, hogy nem tud végrehajtani semmilyen határozatot. Így a panaszos alapvető jogainak érvényesítésére irányuló eljárás nélkül maradt. A CNPD úgy vélte, hogy hatáskörébe tartozik egyszerűen elutasítani egy ügyet. Szerencsére az általános adatvédelmi rendelet előírja, hogy az egyéneknek hatékony jogorvoslattal kell rendelkezniük, és bíróság előtt megtámadhatják az adatvédelmi hatóságok határozatait. Most arra fogjuk kérni a bíróságot, hogy végezze el azt a munkát, amelyet a CNPD megtagadott" -Romain Robert, a noyb.eu ügyvédje.
