GDPR: En lag utan auktoritet? Luxemburgs dataskyddsmyndighet vägrar att visa tänderna för amerikanska företag. noyb väcker talan i domstol
I dag lämnade noyb in ett överklagande av två beslut från Luxemburgs dataskyddsmyndighet (CNPD) till Luxemburgs förvaltningsdomstol i en grundläggande fråga: myndigheten avvisade två klagomål som lämnats in mot de USA-baserade personuppgiftsansvariga Apollo och RocketReach. CNPDbekräftadeuttryckligenatt den allmänna dataskyddsförordningen (GDPR) är tillämplig på dessa företag utanför EU. CNPD ansåg dock att man inte kunde verkställa GDPR mot dessa amerikanska personuppgiftsansvariga, trots att det fanns flera verkställighetsalternativ inom EU. Dessa beslut undergräver i grunden tillämpningenavGDPRpå alla utländska företag på EU-marknaden - ett viktigt löfte i lagen när den infördes 2018.
- Läs handlingarna i överklagandet till förvaltningsdomstolen här (Apollo FR) och här (Rocktreach FR).
- Du kan också läsa en automatiserad översättning till engelska här (Apollo) och här (Rocketreach).
Inledande klagomål till CNPD. Den klagande, som är bosatt i Luxemburg, upptäckte att hans uppgifter behandlades av Apollo och RocketReach, två USA-baserade företag som samlar in och kommersialiserar personuppgifter som finns tillgängliga online. Efter att ha sett detta försökte den klagande utöva sina rättigheter enligt GDPR att få tillgång till (artikel 15) och radera (artikel 17) utan framgång. Eftersom de två personuppgiftsansvariga inte på ett adekvat sätt besvarade hans begäran om att utöva sina rättigheter enligt GDPR, lämnade klaganden in klagomål mot både Apollo och RocketReach till CNPD. Efter flera påminnelser från den klagande avvisade den luxemburgska dataskyddsmyndigheten klagomålet enbart på den grunden att de personuppgiftsansvariga inte hade någon representant i EU (vilket i sig är en överträdelse av GDPR), och att inga effektiva verkställighetsåtgärder därför kunde vidtas mot dessa personuppgiftsansvariga. Ingen materiell utredning gjordes och inget beslut fattades.
Undergrävande av GDPR:s internationella räckvidd. Luxemburgs dataskyddsmyndighets beslut att avvisa klagomålen enbart på grund av att den personuppgiftsansvarige inte är etablerad i EU undergräver tydligt den internationella tillämpningen av GDPR, vilket var ett viktigt löfte till EU-medborgarna när den infördes. Lagen omfattar uttryckligen alla företag som är verksamma på den europeiska marknaden - oavsett var de är baserade.
"Om dataskyddsmyndigheter vägrar att tillämpa GDPR varje gång ett företag inte har någon närvaro i EU, skulle det bara ge en signal till företag att stanna utomlands för att kringgå lagen ... Det är GDPR-versionen av att komma undan med mord " - Romain Robert, advokat på noyb.eu .
Tillämpning av GDPR. Även om ett företag inte har någon närvaro i EU är det fullt möjligt att driva ett förfarande och genomdriva bestämmelserna i dataskyddsförordningen. Om ett företag inte lämnar in några inlagor ger det vanligtvis helt enkelt upp sin rätt att bli hört. Det finns flera processuella möjligheter att verkställa ett beslut mot en utländsk enhet: från traditionella verktyg, som att frysa tillgångar hos tredje part (t.ex. banker eller kunder), till mer moderna metoder som att blockera en webbplats. Datainspektionen bör använda alla möjligheter i sin nationella lagstiftning för att verkställa sina beslut, istället för att ge upp de grundläggande rättigheterna.
"CNPD har en skyldighet att se till att individuella rättigheter enligt GDPR skyddas. Den har också möjlighet att göra det för utländska företag, från att frysa tillgångar i EU till att blockera en tjänst. Att genomdriva EU-lagstiftning mot företag och personer som inte samarbetar eller gömmer sig utomlands är inget nytt för tillsynsmyndigheter och domstolar. Att gömma sig i en annan jurisdiktion är lika gammalt som gränser. Det finns verktyg för att ändå gå vidare med ett ärende. Poängen med att gå till domstol nu är att säkerställa att CNPD faktiskt kommer att använda sina verkställighetsbefogenheter i framtiden och inte längre avfärda ett ärende bara för att verkställigheten skulle vara för svår eller betungande." - Catherine Warin, advokat som företrädde noyb i förfarandet.
Inaktiva dataskyddsavtal: Det här fallet visar att vissa dataskyddsombud fortfarande sover på sina plikter. De bör inte och kommer inte att komma undan med det. Detta kan vara början på en rad åtgärder mot dataskyddsmyndigheter som förblir inaktiva trots den avgörande roll de spelar för att säkerställa efterlevnaden av EU:s dataskyddslagstiftning. noyb kommer att följa sådana fall noga och övervaka dataskyddsmyndigheternas effektiva tillämpning av GDPR.
"CNPD bekräftade uttryckligen att GDPR var tillämplig på dessa företag, men beslutade att inte agera med hänvisning till att man inte kunde verkställa något beslut. Detta lämnade den klagande utan något förfarande för att genomdriva sina grundläggande rättigheter. CNPD ansåg att det var dess befogenhet att helt enkelt avvisa ett ärende. Lyckligtvis föreskriver dataskyddsförordningen att enskilda ska ha ett effektivt rättsmedel och kan överklaga dataskyddsmyndigheternas beslut till domstol. Vi kommer nu att be domstolen att göra det jobb som CNPD vägrade att göra." -Romain Robert, advokat på noyb.eu.
