EU:n kolmikantaneuvottelut menettelyasetuksesta, jonka tarkoituksena on yhdenmukaistaa ja nopeuttaa yleisen tietosuoja-asetuksen (GDPR) täytäntöönpanoa, ovat todennäköisesti viimeisessä kokouksessaan tänä keskiviikkona (21. toukokuuta). Ehdotus saattaa kuitenkin heikentää tietosuoja-asetuksen täytäntöönpanoa, koska siinä otetaan käyttöön liian pitkiä määräaikoja ja liian monimutkaisia menettelyjä. Huolimatta siitä, että ehdotuksessa on Euroopan parlamentin vihreän puolueen pääneuvottelija, siinä syrjitään rakenteellisesti käyttäjiä ja annetaan etuuskohtelu suurille teknologiayrityksille ja luopuu samalla johdonmukaisesti parlamentin kannoista. Ehdotettu asetus ei ainoastaan uhkaa lamauttaa täytäntöönpanoa, vaan se saattaa myös loukata oikeudenmukaista menettelyä ja hyvää hallintoa koskevan oikeuden keskeisiä osia. Näin ollen, noyb tarkastelee parhaillaan vaihtoehtoja kumoamismenettelyn käynnistämiseksi, jos asetus hyväksytään nykyisessä muodossaan.
- Komission ehdotuksen sekä parlamentin ja neuvoston tarkistustenvertailu
- Tausta-artikkeli , joka sisältää yleiskatsauksen ehdotetuista menettelyvaiheista ensimmäisten kolmikantaneuvottelujen jälkeen
Määräajat alkavat vuonna 2029.* Yksi uuden tietosuoja-asetuksen menettelyjä koskevan asetuksen suurista lupauksista oli menettelyjen nopeuttaminen. Asetus on kuitenkin paitsi äärimmäisen monimutkainen myös saattaa johtaa menettelyjen pidentymiseen. Euroopan parlamentti kaavaili alun perin vain kolmen kuukauden määräaikoja, mutta sovitut määräajat vain joidenkin menettelyvaiheiden osalta (suunnitteluvaihe, oikeus tulla kuulluksi ja päätöksentekovaihe) ovat jo nyt yli vuoden pituisia. Neuvottelijoiden on vielä päätettävä menettelyn tärkeimmän osan eli tutkinnan kestosta. Tämä tarkoittaa, että päädymme todennäköisesti yli kahden vuoden määräaikoihin. Lisäksi itse asetus viivästyy huomattavasti, koska siirtymäkaudeksi on asetettu 18 kuukautta asetuksen julkaisemisesta - eli joskus vuoden 2026 lopulla tai vuoden 2027 alussa. Jos tämä kaikki lasketaan yhteen, on todennäköistä, että ensimmäinen GDPR-tapaus, jossa määräaika saattaa olla menossa umpeen, olisi noin vuonna 2029.
Max Schrems:"Kuulemiemme tietojen mukaan määräajoista ei ole päästy lopulliseen sopimukseen. Jo sovitut määräajat ovat kuitenkin 7 kuukautta pelkästään GDPR-menettelyn suunnitteluun ja 4 kuukautta päätöksen tekemiseen. Kun otetaan huomioon, että myös tutkinta on suoritettava, puhutaan todennäköisesti 2-3 vuoden päätöksentekoaikataulusta. Euroopan parlamentti pyysi alun perin jopa 3 kuukauden määräaikoja. Monilla jäsenvaltioilla on 3-6 kuukauden määräajat."
Ristiriidassa EU:n yksinkertaistamisohjelman kanssa. Menettelyjen yksinkertaistamisen ja virtaviivaistamisen sijasta uusi asetus tekee juuri päinvastoin: menettelyyn lisätään monia lisävaiheita, monista asiakirjoista on laadittava kaksi tai kolme versiota eri viranomaisille ja osapuolille. Sen sijaan, että kaikki asiakirjat olisi tallennettu yhteen digitaaliseen keskusjärjestelmään, järjestelmään tallennetaan vain pieni määrä asiakirjoja, kun taas suurin osa asiakirja-aineistosta tallennetaan ja jaetaan EU:n yli 40 tietosuojaviranomaisen kesken, ja niitä on vaihdettava manuaalisesti. Tämä kaikki maksaa kymmeniä tuhansia työtunteja ja todennäköisesti miljoonia euroja tarpeettomia kustannuksia jäsenvaltioissa.
Max Schrems:"Tämä asetus lisää nykyisiin menettelyihin valtavasti ylimääräisiä vaiheita ja paperityötä. Viranomaisilla ja yrityksillä on GDPR-menettelyjen myötä enemmän työtä - ei vähemmän. Tämä lisää sääntöjen noudattamisesta aiheutuvia kustannuksia ja ylikuormittaa viranomaisia, eikä siitä ole hyötyä käyttäjille tai yrityksille. Tämä on täysin päinvastaista kuin mitä EU:n yksinkertaistaminen lupaa."
Käyttäjien ja yritysten rakenteellinen syrjintä. Kaiken kaikkiaan asetus syrjii myös rakenteellisesti käyttäjiä. Lukemattomilla pienillä eroilla asetus tekee yritysten edunvalvonnan paljon helpommaksi kuin käyttäjien oikeuden puolustamisen tietosuojaan. Esimerkiksi: yritykset voivat hankkia kaikki asiakirjat paikallisesti johtavalta viranomaiseltaan, käyttäjien on hankittava asiakirjat ulkomailta ilman mitään realistista keinoa edes saada selville, että asiakirjoja on olemassa, tai ryhtyä toimiin, jos asiakirjoja ei toimiteta. Yrityksillä on "oikeus tulla kuulluksi", kun taas käyttäjät saavat vain "mahdollisuuden esittää näkemyksensä". Yrityksillä on (tietyillä lainkäyttöalueilla) oikeus suulliseen kuulemiseen, jossa ne voivat väitellä viranomaisen kanssa, mutta käyttäjillä on vain mahdollisuus lähettää kirjallinen lausunto. Moniin menettelyn osatekijöihin sovelletaan sen jäsenvaltion lakia, jossa yritys sijaitsee - ei sen jäsenvaltion, jossa käyttäjä on sijoittautunut.
Max Schrems: "Koko asetus on kallistunut käyttäjiä vastaan. Lähes jokaisessa artiklassa suositaan yrityksiä ja syrjitään käyttäjiä. Tässä menettelyssä ei ole minkäänlaista 'aseiden tasa-arvoa'. Vaikka EU:n lainsäädännössä yleensä suojellaan heikompaa osapuolta, tässä asetuksessa syrjitään heikompaa osapuolta."
EP "myi itsensä" komissiolle ja neuvostolle. Vaikka komission luonnosta kritisoitiin laajalti monelta taholta, Euroopan parlamentti ryhtyi perusteelliseen uudelleenmuotoiluun. Vaikka ehdotus ei ollutkaan täydellinen, parlamentti oli korjannut komission ehdotuksen keskeiset rakenteelliset ongelmat. Komission, EU:n jäsenvaltioiden ja parlamentin välisissä neuvotteluissa parlamentti kuitenkin luopui periaatteessa lähes kaikista näistä kannoista. Lähes kaikki käyttäjien oikeuksia, lyhyitä määräaikoja tai avoimia menettelyjä koskevat säännökset poistettiin. Kaikki mahdollisuudet panna uudet säännöt realistisesti täytäntöön tietosuojaviranomaisia vastaan, jotka eivät noudata niitä, hylättiin.
Max Schrems:"Euroopan parlamentti on täysin luopunut keskeisistä kannoistaan. Alkuperäisestä versiosta on jäljellä vain pieniä jälkiä. Tämä on erittäin outoa, kun otetaan huomioon, että parlamentin pääneuvottelija on Piraattipuolueen ja Vihreiden ryhmän jäsen - oletettavasti kovia taistelijoita käyttäjien oikeuksien puolesta. Viime kuukausina käytyjen neuvottelujen aikana meille tuli sellainen tunne, että kukaan ei välittänyt tästä tiedostosta. Tulos kuvastaa sitä täysin."
noyb harkitsee kumoamismenettelyjä. EU:n lainsäädännön on oltava EU:n perusoikeuskirjassa vahvistettujen perusperiaatteiden mukaista. Niitä ovat muun muassa oikeus hyvään hallintoon (41 artikla), oikeus oikeudenmukaiseen menettelyyn kohtuullisessa ajassa (47 artikla) tai yhdenvertainen kohtelu lain edessä (20 artikla). Lisäksi EU:n on varmistettava, että perusoikeuskirjan 8 artiklan mukainen tietosuojaa koskeva perusoikeus voidaan panna tehokkaasti täytäntöön käyttäjien toimesta. Uusi asetus näyttää rakenteellisesti rikkovan näitä vaatimuksia. Jokainen, jota asetus suoraan koskee, voi näin ollen käynnistää niin sanotun kumoamismenettelyn EU:n tuomioistuimissa saadakseen asetuksen julistettua pätemättömäksi - joko kokonaisuudessaan tai suurilta osin. noyb tutkii parhaillaan vaihtoehtoja tällaisten haasteiden esittämiseksi.
Max Schrems:"Asetus on rakenteeltaan niin puutteellinen, että yhteisöjen tuomioistuimen on ehkä kumottava se. Nykyinen luonnos rikkoo todennäköisesti perusoikeuskirjaa monin tavoin todisteiden saatavuuden, oikeudenmukaisuuden, aseiden yhdenvertaisuuden ja oikea-aikaisen päätöksen osalta. Teoriassa asetus voitaisiin kumota ennen kuin sitä aletaan soveltaa."
*Huomautus: Tämän kirjoituksen aiemmassa versiossa mainittiin 33 kuukautta, sillä lisäsimme virheellisesti 15 ja 18 kuukauden jakson, jotka itse asiassa kulkevat rinnakkain.
