BBPR: Een wet zonder autoriteit? De Luxemburgse waakhond voor gegevensbescherming weigert zijn tanden te laten zien aan Amerikaanse bedrijven. noyb dient een rechtszaak in.
Vandaag heeft noyb tegen twee beslissingen van de Luxemburgse gegevensbeschermingsautoriteit (CNPD) beroep aangetekend bij de administratieve rechtbank van Luxemburg over een fundamentele kwestie: de autoriteit heeft twee klachten tegen in de VS gevestigde verantwoordelijken voor gegevensverwerking, Apollo en RocketReach, verworpen. De CNPD heeft uitdrukkelijkbevestigd dat de algemene verordening inzake gegevensbescherming (GDPR) op deze niet-EU-bedrijven van toepassing is. De CNPD was echter van mening dat zij de GDPR niet kon handhaven ten aanzien van deze voor de verwerking verantwoordelijken in de VS, ondanks de vele handhavingsmogelijkheden binnen de EU. Deze besluiten ondermijnen de toepassing van de GDPRop alle buitenlandse ondernemingen op de EU-marktfundamenteel- een belangrijke belofte van de wet toen deze in 2018 werd ingevoerd.
- Lees de beroepszaken voor de administratieve rechtbank hier (Apollo FR) en hier (Rocktreach FR)
- U kunt hier (Apollo) en hier (Rocketreach) ook een geautomatiseerde vertaling in het Engels lezen
Eerste klachten bij het CNPD: De klager, een Luxemburgse ingezetene, ontdekte dat zijn gegevens werden verwerkt door Apollo en RocketReach, twee in de VS gevestigde bedrijven die online beschikbare persoonsgegevens verzamelen en commercialiseren. Na dit te hebben gezien, probeerde de klager zonder succes zijn recht van toegang (artikel 15) en verwijdering (artikel 17) tot het BNPD uit te oefenen. Aangezien de twee voor de verwerking verantwoordelijken niet adequaat hebben geantwoord op zijn verzoek om zijn GDPR-rechten uit te oefenen, heeft de klager bij de CNPD klachten ingediend tegen zowel Apollo als RocketReach. Na verscheidene aanmaningen van de klager heeft de Luxemburgse gegevensbeschermingsautoriteit de klacht afgewezen op grond van het enkele feit dat de voor de verwerking verantwoordelijken geen vertegenwoordiger in de EU hadden (wat op zich een schending van het BNPR is) en dat er derhalve geen doeltreffende handhavingsmaatregelen tegen deze voor de verwerking verantwoordelijken konden worden genomen. Er werd geen materieel onderzoek verricht en er werd geen besluit genomen.
Het internationale bereik van de BBPR werd ondermijnd: Het besluit van de Luxemburgse gegevensbeschermingsautoriteit om de klachten te verwerpen, louter omdat de voor de verwerking verantwoordelijke niet in de EU is gevestigd, ondermijnt duidelijk de internationale toepassing van de GDPR, die een belangrijke belofte aan de EU-burgers was toen deze werd ingevoerd. De wet bestrijkt expliciet alle bedrijven die op de Europese markt actief zijn - ongeacht waar ze gevestigd zijn.
"Als DPA's weigeren om de GDPR te handhaven telkens als een bedrijf niet in de EU aanwezig is, zou dat alleen maar het signaal geven aan bedrijven om in het buitenland te blijven om de wet te omzeilen...Dat is de GDPR-versie van wegkomen met moord " - Romain Robert, advocaat bij noyb.eu
Handhaving van de GDPR. Zelfs wanneer een bedrijf niet aanwezig is in de EU, is het perfect mogelijk om een procedure te voeren en de bepalingen van de GDPR af te dwingen. Als een bedrijf geen opmerkingen maakt, geeft het meestal gewoon zijn recht om te worden gehoord op. Er bestaan verschillende procedurele mogelijkheden om ook een beslissing tegen een buitenlandse entiteit af te dwingen: van traditionele instrumenten, zoals het bevriezen van activa bij derden (zoals banken of klanten), tot een modernere aanpak, zoals het blokkeren van een website. De gegevensbeschermingsautoriteiten moeten alle mogelijkheden van hun nationale wetgeving gebruiken om hun beslissingen ten uitvoer te leggen, in plaats van afstand te doen van de grondrechten
"De CNPD heeft de plicht ervoor te zorgen dat de individuele rechten in het kader van de BBPR worden beschermd. Zij heeft ook de middelen om dit te doen voor buitenlandse bedrijven, van het bevriezen van activa in de EU tot het blokkeren van een dienst. De handhaving van het EU-recht tegen bedrijven en mensen die niet meewerken of zich in het buitenland verstoppen, is niet nieuw voor regelgevers en rechters. Het verstoppen in een ander rechtsgebied is zo oud als de grenzen. Er zijn toch instrumenten om een zaak te behandelen. Het punt van nu naar de rechter te gaan is om ervoor te zorgen dat de CNPD in de toekomst daadwerkelijk gebruik zal maken van haar handhavingsbevoegdheden en niet langer een zaak zal seponeren alleen maar omdat de handhaving te moeilijk of te belastend zou zijn" -Catherine Warin, advocaat van Noyb in de procedure
Inactieve gegevensbeschermingsautoriteiten: Deze zaak toont aan dat sommige DPA's nog steeds slapen van hun taken. Ze moeten en zullen er niet mee wegkomen. Dit kan het begin zijn van een reeks maatregelen tegen gegevensbeschermingsautoriteiten die inactief blijven ondanks de cruciale rol die zij spelen bij het waarborgen van de naleving van de EU-gegevensbeschermingswetgeving. noyb zal dergelijke zaken nauwlettend volgen en toezien op de effectieve handhaving van het BNPR door de gegevensbeschermingsautoriteiten
"Het CNPD heeft uitdrukkelijk bevestigd dat de BNPD op deze ondernemingen van toepassing is, maar heeft besloten niet op te treden omdat zij beweert dat zij geen enkel besluit ten uitvoer kan leggen. Hierdoor bleef de klager zonder enige procedure om zijn grondrechten af te dwingen. De CNPD was van mening dat het haar bevoegdheid was om een zaak eenvoudigweg te verwerpen. Gelukkig bepaalt de BNPR dat particulieren over een doeltreffend rechtsmiddel moeten beschikken en de beslissingen van de gegevensbeschermingsautoriteiten voor de rechter kunnen aanvechten. Wij zullen nu de rechtbank vragen om het werk te doen dat de CNPD weigerde te doen" - Romain Robert, advocaat bij noyb.eu