Tvrtke izvan EU ne moraju poštovati GDPR?

Neprofitna organizacija NOYB – Europski centar za digitalna prava uložila je pritužbu pred nadležnim nacionalnim upravnim sudom povodom dvije odluke luksemburškog nadzornog tijela CNPD.

Luksemburški državljanin obratio se tvrtkama Apollo i RocketReach, čije je sjedište u SAD-u, sa zahtjevom za pristup i brisanje osobnih podataka, nakon što je sasvim slučajno saznao da iste obrađuju njegove osobne podatke. Obje tvrtke odbile su ispuniti predmetni zahtjev, zbog čega se ispitanik obratio luksemburškom nadzornom tijelu.

Tek nakon nekoliko podsjetnika od strane ispitanika, CNPD je donio rješenje. Pritužbe su odbačene uz zabrinjavajuće obrazloženje – provedba GDPR-a nije moguća, obzirom da ni jedna tvrtka nema sjedište u EU, niti imenovanog predstavnika.

Iako CNPD napominje da bi provedba GDPR-a trebala biti moguća i u odnosu na voditelje koji nemaju sjedište u EU, ova odluka mogla bi imati ozbiljne posljedice za zaštitu osobnih podataka osoba u EU. Prema logici CNPD-a, ispada da voditelji sa sjedištem izvan Europske unije ne moraju poštovati GDPR.

Iako postupci zbog kršenja GDPR-a protiv voditelja obrade izvan Europske unije mogu biti zahtjevni, svejedno bi se trebali moći provesti – upravo to i je jedna od temeljnih pretpostavki GDPR-a.

Opravdano si postavljamo pitanje: Na koji način je u praksi zaista moguće postupanje protiv tvrtki izvan EU i bez imenovanog predstavnika?

Komentirajući odluku luksemburškog nadzornog tijela, Romain Robert, odvjetnik u NOYB-u je izjavio:

“If DPAs refuse to enforce the GDPR every time a company has no presence in the EU, that would just give the signal to companies to stay abroad to bypass the law…That’s the GDPR version of getting away with murder”

– Romain Robert, odvjetnik u NOYB-u

Kao jedino moguće rješenje sličnih situacija nadzorno tijelo njemačke savezne pokrajine Saske navodi međunarodne sporazume:

“Pursuant to Art. 3(2) GDPR, controllers in 3rd countries are also subject to [the GDPR]. My dept. receives numerous complaints against companies located outside the EU. Insofar as the controllers have not appointed a rep. acc. to Art. 27. […] To the extent that measures are to be taken against these controllers, an admin. assistance procedure & a procedure through diplomatic channels via the foreign missions of the Fed. Rep. of Germany would also have to be initiated. At present, I inform the complainants that – in the absence of intergovernmental agreements – I see no possibility of enforcing my legal positions or orders.”