EU:s trepartsförhandlingar om en procedurförordning som ska harmonisera och påskynda tillämpningen av den allmänna dataskyddsförordningen (GDPR) kommer sannolikt att ha sitt sista möte nu på onsdag (21 maj). Förslaget riskerar dock att underminera tillämpningen av GDPR genom att införa alltför långa tidsfrister och alltför komplicerade förfaranden. Trots att Europaparlamentet har en chefsförhandlare från Miljöpartiet diskriminerar förslaget också strukturellt användare och ger företräde till Big Tech, samtidigt som man konsekvent ger upp parlamentets ståndpunkter. Den föreslagna förordningen hotar inte bara att lamslå tillämpningen utan kan också utgöra en överträdelse av centrala delar av rätten till ett rättvist förfarande och god förvaltning. Följaktligen, noyb att se över möjligheterna att inleda ett annulleringsförfarande om förordningen antas i sin nuvarande form.
- Jämförelse mellan kommissionens förslag och parlamentets och rådets ändringsförslag
- Bakgrundsartikel med översikt över föreslagna steg i förfarandet efter de första trepartsförhandlingarna
Tidsfrister först 2029* Ett av de stora löftena med den nya procedurförordningen GDPR var att påskynda förfarandena. Förordningen är dock inte bara extremt komplicerad, utan kan också leda till längre förfaranden. Medan Europaparlamentet ursprungligen förutsåg övergripande tidsfrister på så lite som 3 månader, uppgår de överenskomna tidsfristerna för bara några steg i förfarandet (planeringsfasen, rätten att bli hörd och beslutsfasen) redan till mer än ett år. Förhandlarna måste fortfarande besluta om längden på den viktigaste delen av förfarandet: utredningen. Detta innebär att vi sannolikt kommer att få tidsfrister på mer än två år. Dessutom kommer själva förordningen att bli extremt försenad, eftersom övergångsperioden är fastställd till 18 månader från offentliggörandet av förordningen - alltså någon gång i slutet av 2026 eller början av 2027. Om allt detta läggs samman är det troligt att det första GDPR-ärendet som kan komma att hamna i en deadline skulle vara runt 2029.
Max Schrems:"Såvitt vi har hört finns det ingen slutlig överenskommelse om tidsfrister. De tidsfrister som redan är överenskomna uppgår dock till 7 månader bara för att planera ett GDPR-förfarande och 4 månader för att utfärda ett beslut. Med tanke på att det också måste göras en utredning talar vi sannolikt om 2-3 år för ett beslut. Europaparlamentet begärde ursprungligen så korta tidsfrister som 3 månader. Många medlemsstater har tidsfrister på 3 till 6 månader."
Går stick i stäv med EU:s "förenklingsagenda". I stället för att förenkla och effektivisera förfarandena gör den nya förordningen precis tvärtom: många ytterligare steg i förfarandet läggs till, många dokument måste utfärdas i två till tre versioner för olika andra myndigheter och parter. I stället för att ha ett centralt digitalt system med alla handlingar kommer systemet bara att innehålla ett litet antal handlingar, medan de flesta ärendeakter kommer att lagras och distribueras mellan de mer än 40 dataskyddsmyndigheterna i EU och måste utbytas manuellt. Allt detta kommer att kosta tiotusentals arbetstimmar, vilket sannolikt kommer att leda till onödiga kostnader på miljontals euro i medlemsstaterna.
Max Schrems:"Den här förordningen lägger till massor av extra steg och extra pappersarbete till de befintliga förfarandena. Myndigheter och företag kommer att få mer arbete med GDPR-förfarandena - inte mindre. Detta leder till ökade kostnader för efterlevnad och överbelastade myndigheter, utan några fördelar för användare eller företag. Detta är raka motsatsen till vad EU:s förenklingsförslag utlovar."
Strukturell diskriminering av användare kontra företag. På det hela taget innebär förordningen också en strukturell diskriminering av användarna. Genom otaliga små skillnader gör förordningen det mycket lättare för företag att försvara sina intressen än för användare att försvara sin rätt till dataskydd. Till exempel: företag kan få alla dokument lokalt hos sin huvudmyndighet, medan användare måste få dokumenten levererade från utlandet, utan något realistiskt sätt att ens ta reda på om dokumenten finns eller vidta åtgärder om dokumenten inte tillhandahålls. Företagen har "rätt att bli hörda" medan användarna endast får "möjlighet att framföra sina synpunkter". Medan företag (i vissa jurisdiktioner) kan ha rätt till en muntlig utfrågning, där de kan argumentera med en myndighet, har användare endast möjlighet att skicka en skriftlig redogörelse. Många delar av förfarandet styrs av lagen i den medlemsstat där företaget har sin hemvist - inte där användaren är baserad.
Max Schrems: "Hela förordningen är vinklad mot användarna. I nästan varje artikel gynnas företagen och diskrimineras användarna. Det finns absolut ingen "jämlikhet mellan vapen" i detta förfarande. Medan EU-lagstiftningen vanligtvis skyddar den svagare parten, diskriminerar denna förordning den svagare parten."
EP "sålde ut sig" till kommissionen och rådet. Medan kommissionens utkast kritiserades av många parter, genomförde Europaparlamentet en omfattande omarbetning. Även om det inte var perfekt hade de grundläggande strukturella problemen i kommissionens förslag åtgärdats av parlamentet. I förhandlingarna mellan kommissionen, EU:s medlemsstater och parlamentet gav dock parlamentet i princip upp nästan alla dessa ståndpunkter. Nästan alla bestämmelser om användarnas rättigheter, korta tidsfrister eller öppna förfaranden togs bort. Alla möjligheter att på ett realistiskt sätt genomdriva de nya reglerna mot dataskyddsmyndigheter som inte följer dem försvann.
Max Schrems:"Europaparlamentet har helt och hållet sålt ut sina kärnpositioner. Det finns bara små spår kvar av deras ursprungliga version. Detta är mycket märkligt med tanke på att parlamentets huvudförhandlare är medlem i Piratpartiet och medlem i den gröna gruppen - enligt uppgift hårda förkämpar för användarnas rättigheter. Under de senaste månadernas förhandlingar fick vi en allmän känsla av att ingen brydde sig om den här filen. Resultatet är en absolut återspegling av det."
noyb överväger förfaranden för ogiltigförklaring. EU-lagstiftningen måste följa de grundläggande principer som fastställs i EU:s stadga om de grundläggande rättigheterna. Bland dessa finns rätten till god förvaltning (artikel 41), rätten till ett rättvist förfarande inom skälig tid (artikel 47) och rätten till likabehandling enligt lagen (artikel 20). EU måste också se till att den grundläggande rätten till dataskydd i artikel 8 i stadgan kan genomdrivas på ett effektivt sätt av användarna. Den nya förordningen verkar strukturellt bryta mot dessa krav. Den som är direkt berörd kan därför väcka ett s.k. ogiltighetstalan vid EU-domstolen för att få förordningen ogiltigförklarad - antingen i sin helhet eller i stora delar. noyb ser nu över möjligheterna att väcka en sådan talan.
Max Schrems:"Förordningen är så strukturellt bristfällig att EU-domstolen kan behöva ogiltigförklara den. Det nuvarande utkastet strider sannolikt mot stadgan på flera sätt när det gäller tillgång till bevis, rättvisa, lika möjligheter och beslut i rätt tid. I teorin skulle förordningen kunna ogiltigförklaras innan den blir tillämplig."
*Anm: I en tidigare version av detta inlägg nämndes 33 månader, eftersom vi felaktigt lade till en 15- och 18-månadersperiod, som i själva verket löper parallellt.
