GDPR: Een wet zonder autoriteit? De Luxemburgse waakhond voor gegevensbescherming weigert zijn tanden te laten zien aan Amerikaanse bedrijven. noyb dient rechtszaak in
Vandaag, noyb beroep aangetekend tegen twee beslissingen van de Luxemburgse gegevensbeschermingsautoriteit (CNPD) bij de administratieve rechtbank van Luxemburg over een fundamentele kwestie: de autoriteit verwierp twee klachten die waren ingediend tegen in de VS gevestigde gegevensbeheerders, Apollo en RocketReach. De CNPD bevestigde expliciet dat de General Data Protection Regulation (GDPR) van toepassing is op deze niet-EU-bedrijven. De CNPD was echter van mening dat zij de GDPR niet kon handhaven tegen deze Amerikaanse verwerkingsverantwoordelijken, ondanks meerdere handhavingsmogelijkheden binnen de EU. Deze beslissingen ondermijnen fundamenteel de toepassing van de GDPR op alle buitenlandse bedrijven op de EU-markt - een belangrijke belofte van de wet toen deze in 2018 werd ingevoerd.
- Lees de beroepshandelingen voor de administratieve rechtbank hier (Apollo FR) en hier (Rocktreach FR).
- U kunt ook een geautomatiseerde vertaling in het Engels lezen hier (Apollo) en hier (Rocketreach).
Eerste klachten bij de CNPD. De klager, een inwoner van Luxemburg, ontdekte dat zijn gegevens werden verwerkt door Apollo en RocketReach, twee in de VS gevestigde bedrijven die online beschikbare persoonsgegevens verzamelen en verhandelen. Nadat hij dit had gezien, probeerde de klager zonder succes zijn GDPR-rechten van toegang (artikel 15) en wissen (artikel 17) uit te oefenen. Omdat de twee verantwoordelijken voor de verwerking niet adequaat reageerden op zijn verzoek om zijn GDPR-rechten uit te oefenen, diende de klager klachten in tegen zowel Apollo als RocketReach bij de CNPD. Na verschillende herinneringen van de klager verwierp de Luxemburgse gegevensbeschermingsautoriteit de klacht op de enkele grond dat de verantwoordelijken voor de verwerking geen vertegenwoordiger in de EU hadden (wat op zichzelf een schending van de GDPR is), en dat er daarom geen effectieve handhavingsmaatregelen konden worden opgelegd tegen deze verantwoordelijken voor de verwerking. Er werd geen materieel onderzoek uitgevoerd en er werd geen besluit genomen.
Ondermijning van de internationale reikwijdte van de GDPR. De beslissing van de Luxemburgse gegevensbeschermingsautoriteit om de klachten te verwerpen, alleen omdat de verwerkingsverantwoordelijke niet in de EU is gevestigd, ondermijnt duidelijk de internationale toepassing van de GDPR, wat een belangrijke belofte was aan EU-burgers toen deze werd ingevoerd. De wet is expliciet van toepassing op alle bedrijven die actief zijn op de Europese markt - ongeacht waar ze gevestigd zijn.
"Als gegevensbeschermingsautoriteiten weigeren om de GDPR af te dwingen elke keer dat een bedrijf niet aanwezig is in de EU, dan zou dat alleen maar het signaal geven aan bedrijven om in het buitenland te blijven om de wet te omzeilen...Dat is de GDPR-versie van wegkomen met moord" - Romain Robert, advocaat bij noyb.eu.
Handhaving van de GDPR. Zelfs wanneer een bedrijf niet aanwezig is in de EU, is het perfect mogelijk om een procedure te voeren en de bepalingen van de GDPR af te dwingen. Als een bedrijf niets indient, geeft het meestal gewoon zijn recht op om gehoord te worden op. Er bestaan verschillende procedurele wegen om ook een beslissing tegen een buitenlandse entiteit af te dwingen: van traditionele middelen, zoals het bevriezen van tegoeden bij derden (zoals banken of klanten), tot modernere benaderingen zoals het blokkeren van een website. De gegevensbeschermingsautoriteiten moeten alle mogelijkheden van hun nationale wetgeving gebruiken om hun beslissingen af te dwingen, in plaats van fundamentele rechten op te geven.
"De CNPD heeft de plicht om ervoor te zorgen dat individuele rechten onder de GDPR worden beschermd. Ze heeft ook de middelen om dit te doen voor buitenlandse bedrijven, van het bevriezen van tegoeden in de EU tot het blokkeren van een dienst. Het afdwingen van EU-wetgeving tegen bedrijven en mensen die niet meewerken of zich in het buitenland verstoppen is niet nieuw voor toezichthouders en rechtbanken. Onderduiken in een ander rechtsgebied is zo oud als de grenzen. Er zijn instrumenten om desondanks door te gaan met een zaak. Het punt om nu naar de rechter te stappen is om ervoor te zorgen dat de CNPD haar handhavingsbevoegdheden in de toekomst ook daadwerkelijk zal gebruiken en niet langer een zaak zal verwerpen alleen omdat handhaving te moeilijk of omslachtig zou zijn." - Catherine Warin, advocaat van noyb in de procedure.
Inactieve DPA's: Deze zaak laat zien dat sommige DPA's nog steeds slapen over hun plichten. Daar mogen en zullen ze niet mee wegkomen. Dit kan het begin zijn van een reeks acties tegen gegevensbeschermingsautoriteiten die inactief blijven ondanks de cruciale rol die zij spelen bij het waarborgen van de naleving van de EU-wetgeving inzake gegevensbescherming. noyb zal dergelijke zaken nauwlettend volgen en toezien op de effectieve handhaving van de GDPR door de gegevensbeschermingsautoriteiten.
"De CNPD bevestigde expliciet dat de GDPR van toepassing was op deze bedrijven, maar besloot niet op te treden met het argument dat het geen beslissing kon afdwingen. Hierdoor had de klager geen enkele procedure om zijn grondrechten af te dwingen. De CNPD was van mening dat het haar bevoegdheid was om een zaak simpelweg af te wijzen. Gelukkig bepaalt de GDPR dat individuen een effectief rechtsmiddel moeten hebben en de beslissingen van de gegevensbeschermingsautoriteiten voor de rechter moeten kunnen aanvechten. We zullen de rechtbank nu vragen om het werk te doen dat de CNPD weigerde te doen." - Romain Robert, advocaat bij noyb.eu.
Update:
- 21 april 2023 - de administratieve rechtbank (rechtbank in eerste aanleg) heeft de zaak niet-ontvankelijk verklaard op basis van een gebrek aan procesbevoegdheid.
- 28 november 2023 - het Hoger Administratief Hof koos de kant van noyb. Het vernietigde de beslissing van 21 april 2023 en oordeelde dat het beroep ontvankelijk was. Het stuurde de zaak terug naar de administratieve rechtbank van eerste aanleg, die uiteindelijk een beslissing moest nemen.
- 24 september 2024 - de administratieve rechtbank was van mening dat de CNPD onrechtmatig/onterecht had besloten de behandeling van de klacht niet voort te zetten. Het stuurde de zaak terug naar de CNPD voor behandeling.
- de CNPD heeft nog geen beslissing genomen.
