GDPR: Zákon bez autority? Luxemburský dozorný orgán pre ochranu údajov odmieta ukázať zuby americkým spoločnostiam. noyb podáva žalobu na súd
Spoločnosť noyb dnes podala na luxemburský správny súd odvolanie proti dvom rozhodnutiam luxemburského úradu na ochranu údajov (CNPD) v zásadnej veci: úrad zamietol dve sťažnosti podané proti správcom údajov so sídlom v USA, spoločnostiam Apollo a RocketReach. CNPD výslovnepotvrdil, že všeobecné nariadenie o ochrane údajov (GDPR) sa vzťahuje na tieto spoločnosti mimo EÚ. CNPD sa však domnieval, že nemôže presadzovať GDPR voči týmto prevádzkovateľom z USA, a to napriek viacerým možnostiam presadzovania v rámci EÚ. Tieto rozhodnutia zásadne oslabujú uplatňovanie GDPRna všetky zahraničné spoločnosti na trhu EÚ - čo bol kľúčový prísľub zákona pri jeho zavedení v roku 2018.
- Prečítajte si akty odvolania pred správnym súdom tu (Apollo FR) a tu (Rocktreach FR).
- Môžete si prečítať aj automatizovaný preklad do angličtiny tu (Apollo) a tu (Rocketreach).
Prvotné sťažnosti na CNPD. Sťažovateľ, obyvateľ Luxemburska, zistil, že jeho údaje spracúvajú spoločnosti Apollo a RocketReach, dve spoločnosti so sídlom v USA, ktoré zhromažďujú a komercializujú osobné údaje dostupné online. Po zistení tejto skutočnosti sa sťažovateľ pokúsil uplatniť svoje práva na prístup (článok 15) a vymazanie (článok 17) podľa GDPR, avšak bez úspechu. Keďže obaja prevádzkovatelia údajov na jeho žiadosť o uplatnenie práv vyplývajúcich z GDPR primerane neodpovedali, sťažovateľ podal sťažnosti na spoločnosti Apollo a RocketReach na ÚNPD. Po niekoľkých upomienkach sťažovateľa luxemburský orgán na ochranu údajov sťažnosť zamietol len na základe toho, že prevádzkovatelia údajov nemali zástupcu v EÚ (čo je samo osebe porušením GDPR), a preto voči týmto prevádzkovateľom údajov nebolo možné uplatniť účinné donucovacie opatrenia. Nebolo vykonané žiadne vecné vyšetrovanie a nebolo vydané žiadne rozhodnutie.
Oslabenie medzinárodného dosahu nariadenia GDPR. Rozhodnutie luxemburského orgánu na ochranu údajov zamietnuť sťažnosti len preto, že prevádzkovateľ nemá sídlo v EÚ, jasne podkopáva medzinárodné uplatňovanie nariadenia GDPR, ktoré bolo kľúčovým prísľubom pre občanov EÚ pri jeho zavedení. Zákon sa výslovne vzťahuje na všetky spoločnosti, ktoré pôsobia na európskom trhu - bez ohľadu na to, kde majú sídlo.
"Ak orgány na ochranu údajov odmietnu presadzovať GDPR vždy, keď spoločnosť nemá zastúpenie v EÚ, len tým dajú signál spoločnostiam, aby zostali v zahraničí a obišli zákon... To je verzia GDPR, ako sa vyhnúť vražde " - Romain Robert, právnik noyb.eu.
Presadzovanie GDPR. Aj keď spoločnosť nemá zastúpenie v EÚ, je úplne možné viesť konanie a presadzovať ustanovenia nariadenia GDPR. Ak spoločnosť nepredloží podania, zvyčajne sa jednoducho vzdá svojho práva na vypočutie. Existuje niekoľko procesných možností, ako si vynútiť rozhodnutie aj voči zahraničnému subjektu: od tradičných nástrojov, ako je zmrazenie majetku u tretích strán (napríklad bánk alebo zákazníkov), až po modernejšie prístupy, ako je zablokovanie webovej stránky. Orgány na ochranu údajov by mali využiť všetky možnosti vyplývajúce z ich vnútroštátneho práva na presadzovanie svojich rozhodnutí namiesto toho, aby sa vzdali základných práv.
"ÚNMS má povinnosť zabezpečiť ochranu individuálnych práv podľa GDPR. Má na to aj prostriedky v prípade zahraničných spoločností, od zmrazenia majetku v EÚ až po zablokovanie služby. Vymáhanie práva EÚ voči spoločnostiam a osobám, ktoré nespolupracujú alebo sa skrývajú v zahraničí, nie je pre regulačné orgány a súdy novinkou. Skrývanie sa v inej jurisdikcii je staré ako hranice. Napriek tomu existujú nástroje, ako v prípade postupovať. Zmyslom toho, aby sme sa teraz obrátili na súd, je zabezpečiť, aby CNPD v budúcnosti skutočne využíval svoje právomoci v oblasti presadzovania práva a aby už neodmietal prípad len preto, že presadzovanie práva by bolo príliš zložité alebo náročné." - Catherine Warin, právnička zastupujúca spoločnosť noyb v konaní.
Neaktívne DPA: Tento prípad ukazuje, že niektoré orgány DPA stále spia svoje povinnosti. Nemalo by im to prejsť a ani im to neprejde. Môže to byť začiatok série žalôb proti orgánom DPA, ktoré zostávajú nečinné napriek tomu, že zohrávajú kľúčovú úlohu pri zabezpečovaní dodržiavania právnych predpisov EÚ o ochrane údajov. noyb bude takéto prípady pozorne sledovať a monitorovať účinné presadzovanie GDPR zo strany orgánov DPA.
"CNPD výslovne potvrdil, že GDPR sa na tieto spoločnosti vzťahuje, ale rozhodol sa nekonať s tvrdením, že nemôže vykonať žiadne rozhodnutie. Sťažovateľ tak zostal bez akéhokoľvek postupu na vymáhanie svojich základných práv. CNPD sa domnieval, že je v jeho právomoci prípad jednoducho zamietnuť. Našťastie GDPR stanovuje, že jednotlivci by mali mať k dispozícii účinný opravný prostriedok a môžu napadnúť rozhodnutia orgánov na ochranu údajov na súde. Teraz požiadame súd, aby vykonal prácu, ktorú CNPD odmietlo vykonať." -Romain Robert, právnik spoločnosti noyb.eu.
