Vanaf 2018 moet de GDPR ervoor zorgen dat Europeanen in de hele EU privacyrechten genieten. Wanneer de rechten van mensen echter worden geschonden door bedrijven die in een andere EU/EER-lidstaat zijn gevestigd, worden klachten behandeld via een complex "samenwerkingsmechanisme" tussen de gegevensbeschermingsautoriteit in de lidstaat van de gebruiker en de gegevensbeschermingsautoriteit in de lidstaat van het bedrijf. Dit handhavingsmechanisme is de kern van het algemeen erkende falen van de GDPR. Klachten raken verloren, beslissingen nemen jaren in beslag en er is vrijwel geen mogelijkheid om op te treden tegen inactieve gegevensbeschermingsautoriteiten. De EU heeft geprobeerd dit op te lossen door middel van een "GDPR Procedurele Verordening". Maar het wordt nu duidelijk dat dit jammerlijk gaat mislukken. De laatste zogenaamde "triloog"-onderhandelingen tussen het Europees Parlement, de lidstaten en de Europese Commissie hebben geleid tot een wetgevingswarboel die de procedures waarschijnlijk complexer, trager en vatbaar voor juridische uitdagingen zal maken. noyb heeft het dossier op de voet gevolgd en geeft nu een publieke waarschuwing. Het dossier heeft intensief aanvullend werk nodig. De huidige aanpak lijkt de zaken over het algemeen erger te maken.
- Waarnemingspost EU-wetgeving met alle informatie over de wetgevingsprocedure
- Lijst van hoofdrolspelers (PDF)
- Overzicht van de geplande procedure (PDF)
"Eenvoudiger & Sneller" is "Complex & Instabiel" geworden. Tot nu toe bepaalt de GDPR dat gegevensbeschermingsautoriteiten in 30 EU-/EER-landen moeten "samenwerken", maar er wordt niet in detail uitgelegd hoe deze samenwerking moet worden uitgevoerd. De nationale procedures lopen sterk uiteen. De vereisten voor het horen van partijen, het delen van bewijsmateriaal of het formeel afgeven van een geldig besluit verschillen per lidstaat. Basisbeginselen zoals het delen van informatie over een zaak met alle autoriteiten werken in de praktijk niet. In het algemeen heeft dit geleid tot extreem trage GDPR-procedures, zoekgeraakte documenten en mislukte handhavingsacties. Zelfs eenvoudige zaken, zoals een verzoek om toegang tot informatie door een betrokkene, kunnen 5 of meer jaar in beslag nemen. Toen de Europese Commissie aankondigde dat ze deze puinhoop zou oplossen door middel van een "GDPR Procedurele Verordening"was de belangrijkste belofte om eindelijk effectieve handhaving te realiseren via snellere, gestroomlijnde en eenvoudigere procedures.
Zoals het er nu voor staat, staan de EU-instellingen echter op het punt om precies het tegenovergestelde te doen: een nog complexere, inflexibele en inconsistente procedurele nachtmerrie die de handhaving van de GDPR niet zal verbeteren, maar juist zal verminderen.
De Europese Commissie heeft nooit een fatsoenlijke effectbeoordeling uitgevoerd en belanghebbenden betrokken alvorens haar voorstel in te dienen, waardoor het duidelijk ontbreekt aan fundamentele procedurele knowhow. Na het mislukte voorstel van de Commissie kwam de Raad met een halfbakken standpunt, omdat het Belgische EU-voorzitterschap het dossier snel wilde "sluiten" tegen de zomer van 2024. Het Europees Parlement lijkt, in tegenstelling tot de eerste veelbelovende stappen die het in zijn vorige zittingsperiode zette om het voorstel van de Commissie fundamenteel te hervormen, onder zijn nieuwe leiding bijna alle ambitie te hebben opgegeven.
Al met al zal dit wetgevingsinitiatief de EU in verlegenheid brengen - vooral na recente beloften om de fundamentele rechten van de Europeanen op gegevensbescherming en privacy eindelijk serieus te nemen en de wereld te bewijzen dat de GDPR de gouden standaard is - niet alleen op papier. De verwachte uitkomst zou ook in tegenspraak zijn met het streven van de EU om het aantal complexe regels terug te dringen en de juridische kwaliteit van de EU-wetgeving te verbeteren. In plaats van alleen de kernprocedure te vereenvoudigen, zouden de ontwerpteksten waarover wordt onderhandeld leiden tot grofweg tien soorten mogelijke GDPR-procedures - met verschillende subvarianten, wendingen en wendingen.
Max Schrems, voorzitter van noyb.eu: "Aanvankelijk waren we een groot voorstander van duidelijke procedureregels. Maar dit voorstel dreigt de grootste juridische warboel te worden die ik in lange tijd heb gezien. Hoewel de Raad en het Europees Parlement het er over het algemeen over eens lijken te zijn dat het voorstel van de Commissie inhoudelijke wijzigingen behoeft, lijkt het erop dat ze er niet in zijn geslaagd om de structurele problemen op te lossen, maar er juist nog meer en complexere elementen aan hebben toegevoegd. Het Europees Parlement heeft het volledig opgegeven om gevestigde procedurele benaderingen in te voeren. Het resultaat is een overladen systeem dat de procedures nog ingewikkelder en trager zal maken. Veel elementen zijn van zo'n slechte juridische kwaliteit dat deze wet geen problemen zal oplossen - maar juist meer geschillen zal genereren."
Gelukkig, als iedereen ongelukkig is? Terwijl veel Europese politieke gevechten plaatsvinden tussen twee belangengroepen, lijkt dit dossier een gevecht te zijn geweest tussen kwaliteitswetgeving en een aanpak die niet werkbaar is en niet in overeenstemming met de meest elementaire procedurele principes. Ondanks waarschuwingen van experts wordt het dossier gewoon keer op keer door het proces geduwd. Velen hebben achter gesloten deuren opgemerkt dat de tekst een "shitshowof dat de trialoogonderhandelingen helaas op een punt zijn beland waar het maken van wetgeving een "worstenfabriek is die een worst produceert"worstenfabriek is die worst produceert - ongeacht de inhoud". Ondanks het feit dat veel spelers zich het probleem lijken te realiseren, is er weinig actie ondernomen. Een gemeenschappelijk thema lijkt te zijn "geef het op de een of andere manier door - zolang het maar van mijn tafel is."
Max Schrems: " Deze verordening had een doorbraak kunnen betekenen voor de uitoefening van de grondrechten van mensen. In plaats daarvan ziet het ernaar uit dat het duizenden uren zal verspillen in toch al overwerkte auoriteiten door verschillende nutteloze en te ingewikkelde procedurele stappen voor te schrijven, wat zich vertaalt in miljoenen aan belastinggeld. Tegelijkertijd zullen de procedures trager en complexer worden voor zowel bedrijven als burgers. Handhaving van GDPR-rechten van gewone mensen zal nog moeilijker te bereiken zijn. Bedrijven zullen waarschijnlijk te maken krijgen met meer rechtsonzekerheid, onnauwkeurige beslissingen en hogere juridische kosten voor extra papierwerk en noodzakelijke beroepen."
Middeleeuwse procedurele benaderingen - in plaats van partijrechten. Het oorspronkelijke voorstel van de Europese Commissie volgde een autoritaire geest. De 'leidende' DPA's in hetzelfde land als het bedrijf (zoals de beruchte Ierse DPC) werden zoveel mogelijk afgeschermd van de noodzaak om samen te werken met andere DPA's en van het luisteren naar de betrokken partijen. Op deze manier werden ze verondersteld de procedure alleen te kunnen voeren, zonder door iemand lastig gevallen te worden. Maar deze aanpak is het tegenovergestelde van een moderne, efficiƫnte en transparante administratie. Het is cruciaal om de partijen in een vroeg stadium te betrekken om tot feitelijk correcte en algemeen aanvaarde beslissingen te komen. Bedrijven weten immers het beste hoe hun systemen werken en klagers weten het beste wat hun GDPR-probleem is. In plaats daarvan bouwde de Commissie de procedure op een puur "inquisitoir systeem"letterlijk een middeleeuwse aanpak uit de 12e eeuw. Veel documenten en beslissingen in de procedure worden uitgevaardigd voordat de partijen zijn onderzocht of gehoord. Het lijkt erop dat veel van de concepten zijn ontleend aan de praktijk van de Irish Data Protection Commissioner - de DPA die de meeste geschillen met andere DPA's heeft opgeleverd en die bekend staat om extreem trage en rommelige procedures. Het is onduidelijk hoe de relevante elementen van de voorgestelde wet (met name in de artikelen 9 tot en met 17) zullen interageren met veel modernere nationale procedures. In de verordening wordt de wisselwerking tussen de EU-wetgeving en de nationale wetgeving niet goed gedefinieerd.
Max Schrems: "De aanpak van de EU-Commissie was ervan uit te gaan dat gegevensbeschermingsautoriteiten alles weten. In plaats van de partijen te horen, zoals in bijna alle EU-lidstaten het geval is, voorzag de EU-Commissie dat partijen pas aan het eind van het onderzoek zouden worden gehoord via een 'voorlopige beschikking'. De rechten van de partijen zouden daarom uiterst beperkt zijn. Deze aanpak zal waarschijnlijk leiden tot een groot aantal onnauwkeurige beslissingen. Bedrijven weten immers het beste hoe hun systemen werken en klagers weten het beste wat hun probleem is. Het is volstrekt onduidelijk hoe deze concepten interageren met nationale procedureregels. Het artikel dat dit zou hebben verduidelijkt, is ook geschrapt."
"Snelle" procedures: 3 of 33 maanden? Een van de laatste onopgeloste kwesties in de huidige onderhandelingen lijken de termijnen voor procedures te zijn. Tot nu toe melden de gegevensbeschermingsautoriteiten een gemiddelde van ongeveer 8 maanden voor een beslissing. In lidstaten die al een dergelijke termijn hebben, ligt het gemiddelde op ongeveer 4,5 maanden. Daarom was het niet irrationeel dat het Europees Parlement een termijn voorstelde van 3 maanden in eenvoudige gevallen en tot 9 maanden in andere gevallen. De Raad stelde echter naar verluidt een termijn voor een beslissing voor van maximaal 33 maanden. Tot nu toe is er nog geen overeenstemming of gebruikers een zaak in hun eigen land kunnen aanspannen. In plaats daarvan moeten ze misschien een buitenlandse gegevensbeschermingsautoriteit in een ander EU-rechtsgebied aanklagen wegens vertragingen. Dit zou het voor de meeste mensen vrijwel onmogelijk maken.
Max Schrems: "Gemiddeld melden de autoriteiten een duur van ongeveer 8 maanden voor procedures. Sommige voorstellen van de lidstaten zijn 33 maanden. Dit zou de eerste keer zijn dat je een vertraging bij een rechtbank kunt aankaarten, die er op zijn beurt jaren over kan doen om te beslissen over een rechtszaak over een vertraging. Dit is in feite een vrijbrief voor gegevensbeschermingsautoriteiten om procedures eindeloos te rekken..."
Gebrek aan procedurele knowhow. Een structurele reden voor de twijfelachtige uitkomst van dit proces kan zijn dat zowel de Europese Commissie, het Parlement als de Raad zich nauwelijks hebben beziggehouden met wetgeving op het gebied van procesrecht. Procesrecht is momenteel een domein van de lidstaten. Tot nu toe heeft de EU geen relevant nationaal administratief procesrecht uitgevaardigd. Zelfs binnen de lidstaten wordt het procesrecht gewoonlijk behandeld door deskundige juristen in aparte afdelingen aan universiteiten en gespecialiseerde eenheden in de nationale ministeries van Justitie. Over het geheel genomen lijkt het erop dat dit voorstel veel meer voorbereiding en investering had vereist om de huidige situatie te voorkomen waarin EU-wetgevers alleen maar lijken te schoppen tegen het einde van de rit.
Max Schrems: "Er is een speciaal soort advocaat dat zich bezighoudt met procesrecht. Deze knowhow ontbrak duidelijk in dit dossier. Het is alsof ik morgen astrofysica zou gaan beoefenen - het resultaat zou de mensheid waarschijnlijk geen goed doen".
