Belgium: lekapcsolják a netről a GDPR-t sértő weblapokat

A Belga Adatvédelmi Hatóság (BDPA) 2020. december 3-án aláírt egy együttműködési megállapodást a DNS Belgiummal, mely a .be végződésű domainnevek üzemeltetéséért felelős. Az együttműködés célja, hogy olyan esetekben, amikor a BDPA megállapítja a GDPR megsértését egy .be oldalon, egyéb feltételek teljesülése esetén a DNS Belgium átmenetileg felfüggesztheti ennek működését. A BDPA az utóbbi időben egyébként is új módszereket keres a GDPR betartatására, jelezték, hogy nem elégedettek az egyablakos mechanizmus működésével sem.

Az aláírt együttműködési megállapodás két részből áll:

Együttműködés a Hatósággal

Ennek keretében a DNS Belgium adatokat szolgáltat a BDPA-nak vizsgálatai elvégzéséhez.

„Értesítés és cselekvés” (Notice and Action) eljárás

Amikor a BDPA vizsgálatot indít egy .be domain alatt működő weboldal adatkezelésével kapcsolatban, és vizsgálata során a GDPR rendelkezéseibe ütköző szabálytalanságokat talál, lehetősége nyílik arra, hogy időlegesen korlátozza a jogsértő weboldal elérhetőségét.

Ez olyan esetben történhetne meg, amikor az ügyben érintett adatkezelő a Hatóság által előírt határidőn belül nem hozza a személyesadat-kezeléseit összhangba a GDPR rendelkezéseivel. A korlátozás olyan módon történik, hogy a BDPA értesítést küld a Belgium DNS-nek, akik központilag minden forgalmat átirányítanak a weboldalról a BDPA oldalára, mely tájékoztatja a látogatót a weboldal üzemeltetőjének jogsértéséről.

Ez az átirányítás 14 napig tart, melyet követően a weboldal üzemeltetőjének bizonyítania kell, hogy adatkezelését összhangba hozta a BDPA elvárásaival. Amennyiben ezt megteszi, a weboldalt a DNS Belgium visszaállítja eredeti állapotába.

Amennyiben az adatkezelő a 14 napos határidő elteltével nem tudja bizonyítani adatkezelésének jogszerűségét, a weboldal további 6 hónapig átirányítva marad a BDPA figyelmeztető oldalára. Ezt követően az oldal 40 napos „karanténba” kerül, majd, ha ezt követően sem következik be változás az adatkezelő gyakorlatában, a domain ismét megvásárolható lesz. A BDPA vezetője megjegyezte, hogy esetenként változtathat a határidők hossza, amennyiben ezt az ügyben szükségesnek látja.

Bejelentése végén a BDPA megjegyzi, hogy az eljárás csak olyan esetekben alkalmazandó, amikor az adatkezelő különösen súlyos jogsértéseket követ el, és szándékosan, módszeresen jogszerűtlen adatkezelést folytat a Hatóság kifejezett utasításával ellentétben. A döntés teljes terjedelmében (holland nyelven) itt tekinthető meg.

Várható hatások

Hosszú idő után ez lehet az első igazán hatékony eszköz az adatvédelmi hatóságok kezében, az ugyanis tisztán latható, hogy a giga cégeket a legkevésbé sem hatják meg a lassan kiszabott és sok esetben nevetségesen alacsony bírságok. Azt azonban már biztosan komolyabban vennék, ha konkrétan lekapcsolhatóak lennének az „európai internetről”, amennyiben nem tartják be az adatkezelésre vonatkozó szabályokat.

Az intézkedés segíthet a hatóságoknak a GDPR extraterritoriális jellegének érvényesítésében is, hiszen harmadik országokban bejegyzett cégek felett az EU vagy valamely tagállam hatósági jogkörökkel nem rendelkezik, így kényszeríteni hatékonyan nem tudja őket a GDPR betartására. Azzal azonban már komoly nyomást lehet gyakorolni harmadik országbeli cégekre is, ha – az egész EU-t vizsgálva – egy közel 450 milliós online piacról történő kizárással fenyegetnék őket.