NOYB (noyb.eu) je 25.1.2021 vložil tožbo zoper dve odločbi luksemburškega nadzornega organa za varstvo podatkov (CNPD) na upravno sodišče v Luksemburgu: DPA je zavrnil dve pritožbi posameznika, vloženi proti ameriškima upravljavcema podatkov, družbama Apollo in RocketReach. CNPD je sicer izrecno potrdil, da se za podjetja, ki nimajo sedeža v EU, uporablja Splošna uredba o varstvu podatkov (GDPR), vendar je hkrati ocenil, da kljub številnim možnostim izvrševanja svojih preiskovalnih pristojnosti znotraj EU ne more uveljaviti GDPR proti ameriškim upravljavcem, kar je bila ključna obljuba GDPR ob uvedbi leta 2018.

Pritožnik, prebivalec Luksemburga, je odkril, da sta njegove podatke obdelovala Apollo in RocketReach, dve ameriški podjetji, ki zbirata in nato prodajata osebne podatke, ki so na voljo na spletu. Ko je to videl, je pritožnik poskušal brez uspeha uveljavljati svojo pravice do dostopa (člen 15 GDPR) in pravico do izbrisa (člen 17). Ker oba upravljavca podatkov nista ustrezno odgovorila na njegovo zahtevo za uveljavljanje njegovih pravic iz GDPR, je pritožnik vložil pritožbo zoper obe družbi pred CNPD. Po več opominih pritožnika je luksemburški urad za varstvo podatkov pritožbo zavrnil zgolj na podlagi tega, da oba upravljavca podatkov v EU nimata predstavnika (kar je samo po sebi kršitev GDPR) in da zato ne obstaja noben učinkovit izvršilni zoper njiju. Nadzorni organ ni izvedel nobene preiskave niti ni sprejel nobene odločitve, razen te, da ne more ukrepati.

Odločitev luksemburškega organa za varstvo podatkov o zavrnitvi pritožb zgolj zato, ker upravljavec nima sedeža v EU, očitno spodkopava mednarodno uporabo GDPR, ki je bila ob uvedbi ključna obljuba državljanom EU. Zakon izrecno zajema vsa podjetja, ki delujejo na evropskem trgu – ne glede na to, kje imajo sedež, so na NOYB zapisali v sporočilu za javnost.

Tudi če podjetje ni prisotno v EU, je povsem mogoče voditi postopek in uveljaviti določbe GDPR. Če podjetje ne odda stališč na očitke, se običajno preprosto odreče pravici do zaslišanja. Obstaja več postopkovnih poti za uveljavitev odločitve tudi proti tujemu subjektu: od tradicionalnih orodij, kot je zamrznitev sredstev pri tretjih osebah (kot so banke ali druge finančne institucije), pa vse do sodobnejših pristopov, kot je blokiranje spletnega mesta. Organi za varstvo podatkov bi morali izkoristiti vse možnosti v skladu z nacionalno zakonodajo za izvrševanje svojih odločitev, namesto da se odrekajo tem svojim pomembnim pristojnostim.

Pripravila: Nataša Pirc Musar

Vir: NOYB