De triloogonderhandelingen van de EU over een procedureverordening die de handhaving van de General Data Protection Regulation (GDPR) moet harmoniseren en versnellen, zullen waarschijnlijk aanstaande woensdag (21 mei) hun laatste bijeenkomst hebben. Het voorstel dreigt echter de handhaving van de GDPR te ondermijnen door de invoering van te lange termijnen en te ingewikkelde procedures. Ondanks het feit dat het Europees Parlement wordt geleid door een onderhandelaar van de Groene Partij, discrimineert het voorstel gebruikers structureel en geeft het een voorkeursbehandeling aan Big Tech, terwijl het consequent afbreuk doet aan de handhaving van de GDPR aan Big Tech, terwijl de standpunten van het Parlement consequent worden opgegeven. De voorgestelde verordening dreigt niet alleen de handhaving te verlammen, maar kan ook een schending zijn van kernelementen van het recht op een eerlijke procedure en goed bestuur. Bijgevolg, noyb de mogelijkheden om een nietigverklaringsprocedure in te stellen als de verordening in haar huidige vorm wordt aangenomen.
- Vergelijking van het voorstel van de Commissie en de amendementen van het Parlement en de Raad
- Achtergrondartikel met overzicht van voorgestelde procedurele stappen na de eerste trialoogonderhandelingen
Deadlines voor het eerst in 2030. Een van de grote beloften van de nieuwe GDPR-procedureverordening was het versnellen van procedures. De verordening is echter niet alleen extreem ingewikkeld, maar kan ook leiden tot langere procedures. Terwijl het Europees Parlement oorspronkelijk uitging van algemene termijnen van slechts 3 maanden, lopen de overeengekomen termijnen voor slechts enkele stappen van de procedure (planningsfase, recht om te worden gehoord en besluitvormingsfase) al op tot meer dan een jaar. De onderhandelaars moeten nog beslissen over de duur van het belangrijkste deel van de procedure: het onderzoek. Dit betekent dat we waarschijnlijk eindigen met termijnen van meer dan twee jaar. Bovendien is de verordening zelf extreem vertraagd, aangezien de overgangsperiode is vastgesteld op 33 maanden na publicatie van de verordening - dus ergens rond 2028. Als je dit allemaal optelt, is het waarschijnlijk dat de eerste GDPR-zaak die tegen een deadline aanloopt rond 2030 zal zijn.
Max Schrems:"Voor zover wij weten, is er nog geen definitief akkoord over de deadlines. De deadlines waarover al overeenstemming is bereikt, bedragen echter 7 maanden voor het plannen van een GDPR-procedure en 4 maanden voor het uitvaardigen van een besluit. Als je bedenkt dat er ook nog een onderzoek moet plaatsvinden, praten we waarschijnlijk over 2-3 jaar voor een besluit. Het Europees Parlement vroeg oorspronkelijk om slechts 3 maanden. Veel lidstaten hebben termijnen van 3 tot 6 maanden."
In strijd met de EU-agenda voor "vereenvoudiging". In plaats van procedures te vereenvoudigen en te stroomlijnen, doet de nieuwe verordening precies het tegenovergestelde: veel extra stappen in de procedure worden toegevoegd, veel documenten moeten in twee tot drie versies worden uitgegeven voor verschillende andere autoriteiten en partijen. In plaats van één centraal digitaal systeem met alle documenten, zal het systeem slechts een klein aantal documenten bevatten, terwijl de meeste dossiers verspreid over de meer dan 40 gegevensbeschermingsautoriteiten van de EU zullen worden opgeslagen en handmatig moeten worden uitgewisseld. Dit alles kost tienduizenden werkuren en waarschijnlijk miljoenen aan onnodige kosten in de lidstaten.
Max Schrems:"Deze verordening voegt veel extra stappen en extra papierwerk toe aan de bestaande procedures. Autoriteiten en bedrijven zullen meer werk hebben met GDPR-procedures - niet minder. We verhogen hier de nalevingskosten en overbelaste autoriteiten, zonder voordelen voor gebruikers of bedrijven. Precies het tegenovergestelde van wat de EU-vereenvoudiging belooft."
Structurele discriminatie van gebruikers versus bedrijven. In het algemeen discrimineert de verordening gebruikers ook structureel. In talloze kleine verschillen maakt de Verordening het veel makkelijker voor bedrijven om hun belangen te verdedigen dan voor gebruikers om hun recht op gegevensbescherming te verdedigen. Bijvoorbeeld: bedrijven kunnen alle documenten lokaal krijgen bij hun "leidende autoriteit", gebruikers moeten de documenten van aan boord krijgen, zonder enige realistische manier om zelfs maar te weten te komen of documenten bestaan of om actie te ondernemen als documenten niet worden verstrekt. Bedrijven hebben een "recht om gehoord te worden" terwijl gebruikers slechts een "kans krijgen om hun mening kenbaar te maken". Terwijl bedrijven (in bepaalde rechtsgebieden) recht hebben op een hoorzitting, waar ze met een autoriteit in discussie kunnen gaan, hebben gebruikers alleen de mogelijkheid om een schriftelijke verklaring te sturen. Veel elementen van de procedure vallen onder de wetgeving van de lidstaat waar het bedrijf is gevestigd - niet waar de gebruiker is gevestigd.
Max Schrems: "De hele verordening is tegen gebruikers gericht. In bijna elk artikel krijgen bedrijven de voorkeur en worden gebruikers gediscrimineerd. Er is absoluut geen sprake van 'equality of arms' in deze procedure. Terwijl de EU-wetgeving gewoonlijk de zwakkere partij beschermt, discrimineert deze verordening de zwakkere partij."
EP "uitverkocht" aan Commissie en Raad. Terwijl het ontwerp van de Commissie van veel kanten werd bekritiseerd, heeft het Europees Parlement het grondig herschreven. Hoewel niet perfect, werden de belangrijkste structurele problemen van het voorstel van de Commissie door het Parlement verholpen. Tijdens de onderhandelingen tussen de Commissie, de EU-lidstaten en het Parlement gaf het Parlement echter bijna al zijn standpunten op. Bijna alle bepalingen met betrekking tot de rechten van gebruikers, korte termijnen of transparante procedures werden geschrapt. Elke mogelijkheid om de nieuwe regels op een realistische manier af te dwingen tegen gegevensbeschermingsautoriteiten die zich er niet aan houden, werd geschrapt.
Max Schrems:"Het Europees Parlement heeft zijn kernstandpunten volledig verkocht. Er zijn nog maar weinig sporen over van hun oorspronkelijke versie. Dit is extreem vreemd, gezien het feit dat de hoofdonderhandelaar van het Parlement een lid is van de Piratenpartij en een lid van de Groene Fractie - naar verluidt de fervente voorvechters van gebruikersrechten. Tijdens de onderhandelingen in de afgelopen maanden kregen we het algemene gevoel dat niemand om dit dossier gaf. Het resultaat is daar absoluut een afspiegeling van."
noyb overweegt Annuleringsprocedures. EU-wetgeving moet voldoen aan basisbeginselen die zijn vastgelegd in het Handvest van de grondrechten van de EU. Daartoe behoren het recht op behoorlijk bestuur (artikel 41), het recht op een eerlijke procedure binnen een redelijke termijn (artikel 47) en gelijke behandeling voor de wet (artikel 20). Bovendien moet de EU ervoor zorgen dat het grondrecht op gegevensbescherming in artikel 8 van het Handvest effectief kan worden afgedwongen door gebruikers. De nieuwe verordening lijkt deze vereisten structureel te schenden. Iedereen die er rechtstreeks door wordt getroffen kan daarom een zogenaamde nietigverklaringsprocedure starten bij de EU Rechtbanken om de Verordening ongeldig te laten verklaren - hetzij in zijn geheel, hetzij in grote delen. noyb bekijkt nu de mogelijkheden om dergelijke uitdagingen aan te gaan.
Max Schrems:"De verordening vertoont zulke structurele gebreken dat het Hof van Justitie haar misschien nietig zal moeten verklaren. Het huidige ontwerp is waarschijnlijk op meerdere manieren in strijd met het Handvest op het gebied van toegang tot bewijsmateriaal, eerlijkheid, gelijkheid van wapens en een tijdige beslissing. In theorie kan de verordening nietig worden verklaard voordat deze van toepassing wordt."
