noyb volgt het idee van doelgericht en strategisch procederen om het recht op privacy te versterken: In de praktijk streven we dit doel na door privacyschendingen grondig te analyseren en te prioriteren, de juridische zwakke plekken van deze zaken te identificeren en ze te procederen met de best mogelijke strategie en de meest effectieve methode om een maximale impact te bereiken. noyb dient ofwel klachten in tegen bedrijven bij de verantwoordelijke gegevensbeschermingsautoriteit (DPA) of legt zaken rechtstreeks voor aan de rechtbank. In onze processtrategie maken we onderscheid tussen standaardzaken en handhavingsacties.
Standaardzaken: De GDPR is een vrij nieuwe wet, daarom zijn veel elementen nog onduidelijk of omstreden. Door complexe zaken te ontwikkelen die zich richten op die onzekere aspecten, noyb streven naar een beslissing van de hoogste rechtbanken of privacyorganen in de Europese Unie (HvJEU of EDPB) die vervolgens een norm stelt voor de toekomstige interpretatie van de GDPR.
Handhavingsacties: In sommige gevallen is de wet heel duidelijk, maar voldoen bedrijven er gewoon niet aan. Daarom, noybhandhavingsacties dan ook niet om een beslissing van het HvJEU of het EDPB te bereiken, maar om ervoor te zorgen dat nationale gegevensbeschermingsautoriteiten de wet in de praktijk handhaven om onwettige activiteiten van bedrijven een halt toe te roepen. Voor een nog grotere impact, noyb vaak massaprocedures starten en zaken aanspannen in meerdere landen. Twee voorbeelden van dergelijke handhavingsacties zijn noyb101 klachten over onrechtmatige gegevensoverdracht naar de VS of onze massaklachten tegen misleidende cookiebanners.
We maken ook gebruik van PR- en media-initiatieven om het recht op privacy te ondersteunen zonder naar de rechter te hoeven stappen. Verder bevorderen we een gemeenschappelijk begrip van de GDPR en bieden we een informatieplatform genaamd GDPRhub, dat GDPR-beslissingen en juridische literatuur samenvat. En last but not least, noyb zijn krachten bundelen met andere organisaties om de impact van GDPR te maximaliseren en tegelijkertijd parallelle structuren te vermijden.
Hoe komen we op projectideeën?
Aan de ene kant, noyb tips ontvangen over privacyschendingen door onze ondersteunende leden, door het grote publiek of klokkenluiders, anderzijds noybhet juridische team van noyb identificeert potentiële projecten op basis van de volgende factoren:
- Hoge en directe impact: Een zaak of project moet een directe impact hebben op zoveel mogelijk mensen, bijvoorbeeld omdat het gericht is op een hele industrie of een gangbare praktijk in verschillende industriesectoren en lidstaten. Daarnaast willen we onze projecten opschalen om de impact verder te vergroten en naleving in het algemeen te bewerkstelligen door het zogenaamde spill-over effect.
- Grote kans op succes: Als een door donaties gefinancierde organisatie, noyb fondsen toewijzen aan projecten die een hoge kans op succes hebben. Verloren zaken kunnen een averechts effect hebben op het overkoepelende doel om privacy en gegevensbescherming te bevorderen. Hoewel we ernaar streven om zaken op te starten met een hoge kans op succes (bijv. omdat de schending duidelijk is en de wet duidelijk is, wat geldt voor onze "handhavingsacties"), zijn er zaken die verduidelijking behoeven maar het risico waard zijn ("normbepalende zaken").
- Hoge input/outputverhouding: We doen alleen zaken of projecten met een hoge input/output ratio om het gebruik van onze fondsen te maximaliseren. Daarom richten we ons op de grootste spelers en privacykwesties.
- Strategisch: Strategisch procederen is gebaseerd op het afwegen van alle elementen die van invloed kunnen zijn op de zaak of het project en het nemen van weloverwogen beslissingen hierover. Voor elke zaak moeten de timing, jurisdictie, kosten, feitenpatronen, aanklagers en controleurs afzonderlijk worden beoordeeld. noyb volgt ook de activiteiten van DPA's en rechtbanken om gebruik te maken van de meest gunstige voorwaarden (griffierechten, gemiddelde verwerkingstijd, expertise en dergelijke) voor onze klachten.
Klachten
Klachten worden ingediend bij een nationale gegevensbeschermingsautoriteit (DPA) en zijn een kostenefficiënte manier om de GDPR af te dwingen. Wanneer de autoriteit een klacht ontvangt, moet ze deze onderzoeken en binnen een redelijke termijn een beslissing nemen (in Oostenrijk bijvoorbeeld binnen een half jaar). Vaak moeten verschillende gegevensbeschermingsautoriteiten samenwerken om tot een beslissing te komen onder de GDPR, bijvoorbeeld als de betrokken gebruiker en het betrokken bedrijf niet in hetzelfde land zijn gevestigd. Als de gegevensbeschermingsautoriteit geen besluit neemt binnen de gestelde termijn of als de betrokkene het niet eens is met de juridische motivering, kan tegen het besluit beroep worden aangetekend bij de bevoegde rechtbanken.
Rechtszaken
Er zijn twee soorten rechtszaken. De eerste zijn rechtszaken die rechtstreeks tegen een bedrijf zijn gericht. Deze rechtszaken kosten meestal meer dan klachten, maar zijn vaak een nog krachtiger instrument. Een voordeel is dat rechtszaken niet onderworpen zijn aan een grensoverschrijdende procedure, zoals het geval zou zijn bij een klacht tegen een bedrijf in een andere lidstaat. Een grensoverschrijdende procedure zou bijvoorbeeld van toepassing zijn als een klager in Oostenrijk woont, maar het bedrijf waartegen de klacht gericht is in Ierland gevestigd is.
Een ander type rechtszaak vindt plaats in de beroepsprocedure van een klacht. Dit type rechtszaak is gericht tegen de beslissing van de autoriteit. De rechtbank kan een zaak doorverwijzen naar de volgende instantie, tot aan het Hof van Justitie, dat dan moet beslissen over fundamentele vragen van juridische interpretaties.