Hur vi arbetar

noyb följer idén om riktade och strategiska rättsprocesser för att stärka rätten till privatliv: I praktiken strävar vi efter detta mål genom att noggrant analysera och prioritera integritetsintrång, identifiera de juridiska svaga punkterna i dessa fall och driva dem med bästa möjliga strategi och den mest effektiva metoden för att uppnå maximal effekt. noyb lämnar antingen in klagomål mot företag till den ansvariga dataskyddsmyndigheten (DPA) eller tar ärenden direkt till domstol. I vår strategi för tvister skiljer vi mellan standardfall och verkställighetsåtgärder.

Standardiseringsfall: GDPR är en ganska ny lag och många delar är därför fortfarande oklara eller omtvistade. Genom att utveckla komplexa mål med inriktning på dessa osäkra aspekter, noyb att uppnå ett beslut av de högsta domstolarna eller integritetsorganen i EU (CJEU eller EDPB) som sedan kommer att sätta en standard för den framtida tolkningen av GDPR.

Åtgärder för verkställighet: I vissa fall är lagen mycket enkel, men företagen följer den helt enkelt inte. Det är därför, noybs verkställighetsåtgärder inte att uppnå ett beslut av EU-domstolen eller EDPB, utan att säkerställa att nationella dataskyddsmyndigheter tillämpar lagen på fältet för att stoppa olagliga aktiviteter från företag. För en ännu större inverkan, noyb ofta massförfaranden och driver mål i flera länder. Två exempel på sådana verkställighetsåtgärder är noybs 101 klagomål om olagliga dataöverföringar till USA eller våra massklagomål mot vilseledande cookie-banners.

Vi använder oss också av PR- och medieinitiativ för att stödja rätten till integritet utan att behöva gå till domstol. Dessutom främjar vi en gemensam förståelse av GDPR och tillhandahåller en informationsplattform kallad GDPRhub, som sammanfattar GDPR-beslut och juridisk litteratur. Sist men inte minst, noyb tillsammans med andra organisationer för att maximera effekterna av GDPR, samtidigt som vi undviker parallella strukturer.

Å ena sidan, noyb få tips om integritetskränkningar av våra stödjande medlemmar, av allmänheten eller visselblåsare, å andra sidan noyb's juridiska team identifierar potentiella projekt baserat på följande faktorer:

• Hög och direkt påverkan: Ett fall eller projekt bör ha en direkt inverkan på så många människor som möjligt, t.ex. genom att de riktar sig mot en hel bransch eller en gemensam praxis i olika branscher och medlemsländer. Dessutom strävar vi efter att skala upp våra projekt för att ytterligare förstärka effekten och få till stånd efterlevnad i allmänhet på grund av den så kallade spill-over-effekten.
• Stora chanser attlyckas: Som en donationsfinansierad organisation, noyb måste noyb fördela medel till projekt som har stor chans att lyckas. Förlorade fall kan slå tillbaka på det övergripande målet att främja integritet och dataskydd. Även om vi strävar efter att inleda ärenden med stor möjlighet till framgång (t.ex. för att överträdelsen är uppenbar och lagen är tydlig, vilket gäller för våra "verkställighetsåtgärder"), finns det ärenden som behöver förtydligas men som är värda risken ("standardiseringsärenden").
• Hög input/output-kvot: Vi engagerar oss bara i ärenden eller projekt som har ett högt input/output-förhållande för att maximera användningen av våra medel. Därför riktar vi in oss på de största aktörerna och integritetsfrågorna.
• Strategisk: Strategisk rättstvisthantering bygger på att vi överväger alla faktorer som kan påverka målet eller projektet och fattar välgrundade beslut om dem. För varje enskilt fall bör man göra en individuell bedömning av tidpunkt, jurisdiktion, kostnader, faktamönster, klagande och kontrollanter. noyb övervakar också verksamheten hos dataskyddsmyndigheter och domstolar för att utnyttja de mest gynnsamma villkoren (domstolsavgifter, genomsnittlig handläggningstid, expertis och liknande) för våra klagomål.

Klagomål lämnas in till en nationell dataskyddsmyndighet (DPA) och är ett kostnadseffektivt sätt att genomdriva GDPR. När myndigheten tar emot ett klagomål måste den utreda ärendet och fatta ett beslut inom en rimlig tidsperiod (t.ex. i Österrike inom ett halvår). Ofta måste olika dataskyddsmyndigheter samarbeta för att komma fram till ett beslut enligt GDPR, t.ex. om den berörda användaren och det berörda företaget inte finns i samma land. Om dataskyddsmyndigheten inte fattar beslut inom den angivna tidsfristen eller om den registrerade inte håller med om det rättsliga resonemanget kan beslutet överklagas till behörig domstol.

Det finns två typer av stämningar. Den första är stämningar som riktas direkt mot ett företag. Dessa stämningar kostar vanligtvis mer än klagomål, men är ofta ett ännu kraftfullare verktyg. En fördel är att stämningar inte är föremål för ett gränsöverskridande förfarande, vilket skulle vara fallet med ett klagomål mot ett företag som är beläget i ett annat medlemsland. Ett gränsöverskridande förfarande skulle t.ex. tillämpas om den klagande bor i Österrike, men det företag som stämningen riktas mot är baserat på Irland.

En annan typ av stämning är i överklagandeprocessen av ett klagomål. Denna typ av rättsliga åtgärder riktar sig mot myndighetens beslut. Domstolen kan hänskjuta ett ärende till nästa instans, upp till EU-domstolen, som då måste fatta beslut i grundläggande frågor om rättsliga tolkningar.