Az általános adatvédelmi rendelet (GDPR) végrehajtását harmonizáló és felgyorsító eljárási rendeletről szóló háromoldalú uniós tárgyalásokon valószínűleg ezen a szerdán (május 21-én) lesz az utolsó ülés. A javaslat azonban azzal a kockázattal jár, hogy aláássa a GDPR végrehajtását, mivel túl hosszú határidőket és túlságosan bonyolult eljárásokat vezet be. Annak ellenére, hogy az Európai Parlament zöldpárti főtárgyalója, a javaslat strukturálisan is megkülönbözteti a felhasználókat, és előnyben részesíti őket a Big Tech-nek, miközben következetesen feladja a Parlament álláspontját. A javasolt rendelet nemcsak azzal fenyeget, hogy megbénítja a jogérvényesítést, hanem a tisztességes eljáráshoz és a gondos ügyintézéshez való jog alapvető elemeinek megsértését is jelentheti. Következésképpen, noyb felülvizsgálja a megsemmisítési eljárás lehetőségeit, ha a rendeletet jelenlegi formájában elfogadják.
- A bizottsági javaslat, valamint a Parlament és a Tanács módosításainakösszehasonlítása
- Háttércikk az első háromoldalú tárgyalások után javasolt eljárási lépések áttekintésével
A határidők először 2029-ben lépnek életbe.* Az új GDPR eljárási rendelet egyik nagy ígérete az eljárások felgyorsítása volt. A rendelet azonban nemcsak rendkívül bonyolult, hanem az eljárások elhúzódásához is vezethet. Míg az Európai Parlament eredetileg mindössze 3 hónapos általános határidőket irányzott elő, az eljárás csak néhány lépésére (tervezési szakasz, meghallgatáshoz való jog és döntéshozatali szakasz) megállapított határidők már most is több mint egy évet tesznek ki. A tárgyalóknak még dönteniük kell az eljárás fő részének, a vizsgálatnak az időtartamáról. Ez azt jelenti, hogy valószínűleg két évnél hosszabb határidőkkel kell számolnunk. Ráadásul maga a rendelet is rendkívül késni fog, mivel az átmeneti időszakot a rendelet közzétételétől számított 18 hónapban határozzák meg - tehát valamikor 2026 vége vagy 2027 eleje körül. Ha mindezt összeadjuk, akkor valószínű, hogy az első olyan GDPR-ügy, amely határidőbe ütközhet, 2029 körülre tehető.
Max Schrems: "Amennyire hallottuk, nincs végleges megállapodás a határidőkről. A már elfogadott határidők azonban csak a GDPR-eljárás megtervezésére 7 hónapot, a határozat meghozatalára pedig 4 hónapot tesznek ki. Ha figyelembe vesszük, hogy vizsgálatra is szükség van, akkor valószínűleg 2-3 évről beszélünk a döntés meghozataláig. Az Európai Parlament eredetileg 3 hónapos határidőt kért. Sok tagállamban 3-6 hónapos határidők vannak."
Ellentétben az EU "egyszerűsítési" menetrendjével. Az eljárások egyszerűsítése és egyszerűsítése helyett az új rendelet éppen az ellenkezőjét teszi: az eljárás számos további lépéssel bővül, számos dokumentumot két-három változatban kell kiállítani különböző más hatóságok és felek számára. Az összes dokumentumot tartalmazó egyetlen központi digitális rendszer helyett a rendszer csak kevés dokumentumot fog tárolni, míg az ügyiratok többségét a több mint 40 uniós adatvédelmi hatóság között tárolják és osztják szét, és azokat kézzel kell kicserélni. Mindez több tízezer munkaórába fog kerülni, ami valószínűleg több millió eurós felesleges költséget jelent majd a tagállamokban.
Max Schrems:"Ez a rendelet rengeteg plusz lépést és plusz papírmunkát ad a meglévő eljárásokhoz. A hatóságoknak és a vállalkozásoknak több munkájuk lesz a GDPR-eljárásokkal - nem kevesebb. Ez növeli a megfelelési költségeket és túlterheli a hatóságokat, a felhasználók és a vállalkozások számára pedig semmilyen előnnyel nem jár. Ez pontosan az ellenkezője annak, amit az uniós egyszerűsítés ígér."
A felhasználók strukturális megkülönböztetése a vállalatokkal szemben. Összességében a rendelet strukturálisan is diszkriminálja a felhasználókat. Számtalan apró különbséggel a rendelet sokkal könnyebbé teszi a vállalatok számára, hogy megvédjék érdekeiket, mint a felhasználók számára, hogy megvédjék az adatvédelemhez való jogukat. Például: a vállalatok minden dokumentumot helyben, a vezető hatóságuknál szerezhetnek be, a felhasználóknak külföldről kell beszerezniük a dokumentumokat, anélkül, hogy reális lehetőségük lenne akár csak megtudni, hogy léteznek-e dokumentumok, vagy intézkedni, ha a dokumentumokat nem adják át. A vállalatoknak "meghallgatáshoz való joguk" van, míg a felhasználóknak csak "lehetőségük van arra, hogy ismertessék álláspontjukat". Míg a vállalatoknak (bizonyos jogrendszerekben) joguk van a szóbeli meghallgatáshoz, ahol vitatkozhatnak a hatósággal, addig a felhasználóknak csak arra van lehetőségük, hogy írásbeli nyilatkozatot küldjenek. Az eljárás számos elemére annak a tagállamnak a joga irányadó, ahol a vállalat székhelye van - nem pedig a felhasználó székhelye.
Max Schrems: " Az egész rendelet a felhasználók ellen irányul. Szinte minden cikkben a vállalatokat előnyben részesítik, a felhasználókat pedig hátrányosan megkülönböztetik. Ebben az eljárásban egyáltalán nincs "fegyveregyenlőség". Míg az uniós jog általában a gyengébb felet védi, ez a rendelet a gyengébb féllel szemben diszkriminál."
Az EP "eladta magát" a Bizottságnak és a Tanácsnak. Miközben a Bizottság tervezetét sokan és sokféleképpen bírálták, az Európai Parlament érdemi átdolgozásra vállalkozott. Bár nem tökéletes, de a bizottsági javaslat alapvető strukturális problémáit a Parlament orvosolta. A Bizottság, az EU-tagállamok és a Parlament közötti tárgyalások során azonban a Parlament alapvetően feladta szinte az összes ilyen álláspontot. A felhasználók jogaira, a rövid határidőkre vagy az átlátható eljárásokra vonatkozó szinte valamennyi rendelkezést eltörölték. Minden olyan lehetőséget elvetettek, amely az új szabályok reális érvényesítésére irányult volna az adatvédelmi hatóságokkal szemben, amelyek nem tartják be az előírásokat.
Max Schrems: "Az Európai Parlament teljesen eladta az alapvető álláspontjait. Már csak apró nyomok maradtak az eredeti változatukból. Ez rendkívül furcsa, tekintve, hogy a Parlament vezető tárgyalója a Kalózpárt és a Zöldek frakciójának tagja - állítólag a felhasználók jogainak ádáz harcosai. Az elmúlt hónapok tárgyalásai során az volt az általános érzésünk, hogy senkit sem érdekel ez a fájl. Az eredmény teljes mértékben ezt tükrözi."
noyb megsemmisítési eljárást fontolgat. Az uniós jognak meg kell felelnie az EU Alapjogi Chartájában foglalt alapelveknek. Ezek közé tartozik a gondos ügyintézéshez való jog (41. cikk), a tisztességes eljáráshoz való jog ésszerű időn belül (47. cikk) vagy a törvény előtti egyenlő bánásmód (20. cikk). Az EU-nak továbbá azt is biztosítania kell, hogy a Charta 8. cikkében foglalt, az adatvédelemhez való alapjogot a felhasználók hatékonyan érvényesíthessék. Úgy tűnik, hogy az új rendelet szerkezetileg sérti ezeket a követelményeket. Bárki, akit ez közvetlenül érint, úgynevezett megsemmisítési eljárást indíthat az uniós bíróságok előtt, hogy a rendeletet - akár egészében, akár nagy részeiben - semmisnek nyilvánítsák .
Max Schrems:"A rendelet szerkezetileg annyira hibás, hogy a Bíróságnak talán meg kell semmisítenie. A jelenlegi tervezet valószínűleg több szempontból is sérti a Chartát a bizonyítékokhoz való hozzáférés, a méltányosság, a fegyveregyenlőség és az időszerű döntés tekintetében. Elméletileg a rendeletet még azelőtt meg lehetne semmisíteni, hogy az alkalmazandóvá válna."
*Megjegyzés: A bejegyzés korábbi verziója 33 hónapot említett, mivel tévesen 15 és 18 hónapos időszakot adtunk hozzá, amelyek valójában párhuzamosan futnak.
