Verordening GDPR-procedures: Commissievoorstel is een aanval op de rechten van gebruikers in GDPR-procedures
Vandaag heeft de EU-commissaris voor Justitie Reynders een voorstel gedaan om de (gebrekkige) samenwerking tussen sommige gegevensbeschermingsautoriteiten (Data Protection Authorities, DPA's) te verbeteren. Op dit moment zegt de GDPR alleen dat de gegevensbeschermingsautoriteiten moeten samenwerken, maar de details over hoe deze samenwerking in zijn werk moet gaan ontbreken. Helaas lijkt het voorstel van de Commissie technisch en materieel gebreken te vertonen en ontneemt het burgers eerder bestaande rechten dan dat het de handhaving ervan garandeert. Idealiter zou een nieuwe verordening gevestigde beginselen van hoog niveau voor grensoverschrijdende procedures kunnen volgen - wat zou leiden tot minder inmenging in nationale procedures en meer rechtszekerheid.
- Link naar het voorstel van de Commissie
- Persbericht van de Commissie
- Het noyb-voorstel is te vinden op https://gdpr-procedure.eu/
Achtergrond. De GDPR bepaalt tot dusver dat de nationale gegevensbeschermingsautoriteiten met elkaar moeten samenwerken, maar de details van de procedures worden aan de lidstaten overgelaten. Er zijn geen duidelijke collisieregels die bepalen welk nationaal recht van toepassing is op welk onderdeel van de procedure. De onderdelen van de EU-wetgeving zijn beperkt tot bepaalde stappen van de samenwerkingsprocedure. Dit leidde tot veel conflicten tussen de gegevensbeschermingsautoriteiten, tot aan een rechtszaak van de Ierse gegevensbeschermingsautoriteiten tegen het Europees Comité voor gegevensbescherming (EDPB) wegens vermeende inbreuken door het EU-coördinatieorgaan.
Max Schrems:"De GDPR vertelt de gegevensbeschermingsautoriteiten in principe om 'samen te werken', maar ze hebben allemaal verschillende opvattingen over hoe de procedures moeten werken en welke nationale wetgeving van toepassing is op welke stap. Bovendien hebben sommige lidstaten procedurele regels aangenomen die de GDPR-procedures ondermijnen. In andere lidstaten hebben gegevensbeschermingsautoriteiten en rechtbanken praktijken ontwikkeld die niet voldoen aan de minimumnormen van de EU. Doordeze situatie verlopen grensoverschrijdende procedures vaak uiterst traag en rommelig."
Aanpak Commissie gebrekkig. Het voorstel van de Commissie lijkt vooral gebaseerd te zijn op de eisen van (sommige) gegevensbeschermingsautoriteiten om burgers uit procedures te verwijderen om ze te "vereenvoudigen". Wanneer de Commissie problemen probeert op te lossen, probeert ze alleen individuele gaten in het systeem te dichten, die aan het licht kwamen in de eerste grotere zaken tussen de Ierse DPC en haar Europese tegenhangers. Anders dan in de bestaande EU-verordeningen voor procedures tussen landen (zoals de "Brussel"- of "Rome"-verordeningen) wordt in het voorstel van de Commissie niet gekozen voor een systematische aanpak, waarbij de rechtsbevoegdheid voor bepaalde delen van de procedure aan de lidstaten wordt gedelegeerd en ervoor wordt gezorgd dat er Europese minimumnormen zijn. In plaats daarvan lijkt het voorstel van de Commissie bepaalde Europese elementen te implanteren in bestaande wetten - wat leidt tot een hybride tussen EU- en nationale wetten en procedures.
Onevenwicht tussen gebruikers en bedrijven. Terwijl een aantal belangrijke elementen die zouden leiden tot snellere procedures - zoals substantiële termijnen voor de leidende toezichthoudende autoriteit die een grensoverschrijdende zaak onderzoekt - grotendeels ontbreken, zou de aanpak van de Commissie zelfs de toch al problematische balans in gegevensbeschermingszaken verder doen doorslaan in het voordeel van bedrijven. Terwijl burgers slechts minimaal worden gehoord, voorziet het ontwerp in ruime rechten voor de bedrijven: zij worden gedurende de hele procedure gehoord en krijgen toegang tot de dossiers van de zaak. Dit zou ertoe kunnen leiden dat bestaande problemen voor ondoorzichtige regelgevers zoals de DPC worden verankerd in plaats van opgelost.
Max Schrems:"We hoopten op een oplossing, maar dit is in wezen een verschuiving van een procedure over de rechten van gebruikers naar een procedure over de rechten van bedrijven. We moeten het voorstel in meer detail bestuderen, veel elementen zijn duidelijk een stap terug voor de rechten van gebruikers. We denken dat er traditionelere manieren zijn om de problemen aan te pakken, die tegelijkertijd minder inbreuk maken op nationale procedurele wetten en veel eenvoudiger zijn - terwijl de problemen ook systematisch worden opgelost. We zullen samen met de Europese wetgevers bekijken of het voorstel kan worden verbeterd, maar het lijkt erop dat dit een lange weg is."
Weg vooruit. Het voorstel van de Commissie heeft een zeer strak tijdschema, aangezien de termijn van de Europese Commissie in 2024 afloopt. Het voorstel moet nu naar het Europees Parlement en de lidstaten, die het eens moeten worden over een definitieve versie. Het is onduidelijk of het huidige voorstel zal worden verwelkomd door de andere Europese wetgevende organen. noyb zal het proces op de voet volgen.