Från och med 2018 är det meningen att GDPR ska säkerställa att européer åtnjuter integritetsskydd i hela EU. Men när människors rättigheter kränks av företag som är baserade i en annan EU/EES-medlemsstat hanteras klagomålen genom en komplex "samarbetsmekanism" mellan dataskyddsmyndigheten i användarnas medlemsstat och dataskyddsmyndigheten i företagets medlemsstat. Denna verkställighetsmekanism är kärnan i det allmänt erkända misslyckandet med verkställigheten av GDPR. Klagomål går förlorade, beslut tar åratal och det finns praktiskt taget ingen möjlighet att agera mot inaktiva dataskyddsmyndigheter. EU har försökt lösa detta genom en "GDPR-förfarandeförordning". Men det står nu klart att den kommer att misslyckas kapitalt. De avslutande s.k. "trilogförhandlingarna" mellan Europaparlamentet, medlemsstaterna och EU-kommissionen har lett till en lagstiftningsmässig röra som sannolikt kommer att göra förfarandena mer komplexa, långsammare och mer utsatta för rättsliga utmaningar. noyb har noga följt ärendet och utfärdar nu en offentlig varning. Dossiern behöver intensivt ytterligare arbete. Det nuvarande tillvägagångssättet verkar göra saker och ting värre överlag.
- EU:s lagstiftande observationsorgan med all information om lagstiftningsförfarandet
- Förteckning över nyckelaktörer (PDF)
- Översikt över det planerade förfarandet (PDF)
"Enklare och snabbare" har blivit "komplext och instabilt". Hittills föreskriver dataskyddsförordningen att dataskyddsmyndigheter i 30 EU/EES-länder ska "samarbeta", men det klargörs inte i detalj hur detta samarbete ska genomföras. De nationella förfarandena skiljer sig mycket åt. Kraven på att höra parter, dela bevis eller formellt utfärda ett giltigt beslut är olika i varje medlemsstat. Grundläggande krav som att alla myndigheter ska dela med sig av information om ett ärende fungerar inte i praktiken. Sammantaget har detta lett till extremt långsamma GDPR-förfaranden, förlorade dokument och misslyckade verkställighetsåtgärder. Även enkla ärenden, t.ex. en begäran om tillgång till information från en registrerad, kan ta fem år eller mer. När Europeiska kommissionen meddelade att den skulle åtgärda denna röra genom en "GDPR-förfarandeförordning"var det främsta löftet att äntligen uppnå en effektiv efterlevnad genom snabbare, effektivare och enklare förfaranden.
Men som det ser ut idag är EU:s institutioner på väg att åstadkomma raka motsatsen: en ännu mer komplex, oflexibel och inkonsekvent förfarandemässig mardröm som inte kommer att förbättra utan snarare försämra tillämpningen av GDPR.
EU-kommissionen gjorde aldrig någon ordentlig konsekvensanalys eller samråd med intressenter innan den lade fram sitt förslag, och saknar uppenbarligen grundläggande kunskaper om förfaranden. Efter kommissionens brutna förslag levererade rådet en halvfärdig ståndpunkt, eftersom det belgiska EU-ordförandeskapet snabbt ville "stänga" ärendet till sommaren 2024. Europaparlamentet verkar, i motsats till de första lovande steg som togs för att i grunden reformera kommissionens förslag under den föregående mandatperioden, ha gett upp nästan alla ambitioner under sitt nya ledarskap.
Sammantaget kommer detta lagstiftningsinitiativ att bli en pinsamhet för EU - särskilt efter de senaste löftena om att äntligen ta européernas grundläggande rättigheter till dataskydd och integritet på allvar och att bevisa för världen att GDPR är guldstandarden - inte bara på papperet. Det förväntade resultatet skulle också strida mot EU:s strävan att minska antalet komplexa regler och förbättra den rättsliga kvaliteten på EU:s lagstiftning. Istället för att bara förenkla kärnförfarandet skulle de utkast till texter som förhandlas leda till ungefär tio typer av möjliga GDPR-förfaranden - med olika undervarianter, vändningar och vändningar.
Max Schrems, ordförande för noyb.eu: "Vi var ursprungligen mycket positiva till att ha tydliga procedurregler. Men det här förslaget riskerar att bli den största lagstiftningsmässiga röra jag har sett på länge. Även om rådet och Europaparlamentet verkar vara överens om att kommissionens förslag behöver ändras i sak, verkar det som om de inte har lyckats åtgärda de strukturella problemen utan snarare lagt till ännu fler och mer komplexa delar. Europaparlamentet har helt gett upp tanken på att införa väletablerade förfaringssätt. Resultatet är ett överbelastat system som kommer att göra förfarandena ännu mer komplicerade och långsamma. Många delar är av så dålig juridisk kvalitet att denna lag inte kommer att lösa problem - utan snarare skapa fler tvister."
Lycklig om alla är olyckliga? Medan många europeiska politiska strider utspelar sig mellan två intressegrupper, verkar detta ärende ha varit en kamp mellan kvalitetslagstiftning och ett tillvägagångssätt som varken är genomförbart eller i linje med de mest grundläggande procedurprinciperna. Trots varningar från experter drivs ärendet helt enkelt igenom processen om och om igen. Många har bakom stängda dörrar kommenterat att texten är en "skitshow" eller att trepartsförhandlingarna tyvärr har kommit till en punkt där lagstiftningsarbetet är en "korvfabrik som producerar en korv - oavsett innehåll". Trots att många aktörer verkar ha insett problemet har få åtgärder vidtagits. Ett vanligt tema verkar vara "låt det passera på ett eller annat sätt - så länge det inte ligger på mitt bord."
Max Schrems: " Den här förordningen kunde ha förändrat spelplanen för utövandet av människors grundläggande rättigheter. I stället ser det ut som om den kommer att slösa bort tusentals timmar på redan överarbetade myndigheter genom att föreskriva olika värdelösa och alltför komplicerade förfarandesteg, vilket innebär miljontals kronor i skattebetalarnas pengar. Samtidigt kommer förfarandena att bli långsammare och mer komplicerade för både företag och medborgare. Det kommer att bli ännu svårare för vanliga människor att hävda sina rättigheter enligt GDPR. Företagen kommer sannolikt att uppleva mer rättsosäkerhet, felaktiga beslut och högre juridiska kostnader för ytterligare pappersarbete och nödvändiga överklaganden."
Medeltida processuella tillvägagångssätt - istället för partsrättigheter. EU-kommissionens ursprungliga förslag följde en auktoritär anda. De "ledande" dataskyddsmyndigheterna i samma land som företaget (t.ex. den ökända irländska dataskyddsmyndigheten) skyddades så långt som möjligt från behovet av att samarbeta med andra dataskyddsmyndigheter och från att lyssna på de berörda parterna. På så sätt skulle de kunna genomföra förfarandet på egen hand, utan att störas av någon. Men detta tillvägagångssätt är motsatsen till en modern, effektiv och öppen förvaltning. Det är viktigt att involvera parterna i ett tidigt skede för att komma fram till sakligt korrekta och allmänt accepterade beslut. Företagen vet trots allt bäst hur deras system fungerar och de klagande vet bäst vad deras problem med GDPR är. Istället byggde kommissionen upp förfarandet på ett rent "inkvisitoriskt system" - bokstavligen ett medeltida tillvägagångssätt från 1100-talet. Många dokument och beslut i förfarandet utfärdas innan några undersökningar eller utfrågningar av parterna har genomförts. Det verkar som om många av begreppen har lånats från den irländska dataskyddsmyndighetens praxis - den dataskyddsmyndighet som har orsakat flest tvister med andra dataskyddsmyndigheter och som är känd för extremt långsamma och röriga förfaranden. Det är oklart hur de relevanta delarna av den föreslagna lagen (särskilt i artiklarna 9-17) kommer att samverka med mycket modernare nationella förfaranden. Förordningen definierar inte samspelet mellan EU-lagstiftning och nationell lagstiftning på ett korrekt sätt.
Max Schrems: "EU-kommissionens strategi var att anta att dataskyddsmyndigheterna vet allt. I stället för att höra parterna, vilket är fallet i nästan alla EU-medlemsstater, förutsåg EU-kommissionen att parterna skulle höras först i slutet av undersökningen genom ett "preliminärt beslut". Parternas rättigheter skulle därför vara ytterst begränsade. Detta tillvägagångssätt riskerar att leda till ett stort antal felaktiga beslut. Företagen vet trots allt bäst hur deras system fungerar och de klagande vet bäst vad deras problem är. Det är helt oklart hur dessa begrepp samspelar med nationella förfaranderegler. Den artikel som skulle ha klargjort detta har också strukits."
"Snabba" förfaranden: 3 eller 33 månader? En av de sista olösta frågorna i de pågående förhandlingarna verkar vara tidsfristerna för förfaranden. Hittills har dataskyddsmyndigheterna rapporterat att det i genomsnitt tar cirka 8 månader att fatta ett beslut. I de medlemsstater som redan har infört en sådan tidsfrist är genomsnittet ungefär 4,5 månader. Därför var det inte irrationellt att Europaparlamentet föreslog en tidsfrist på 3 månader i enkla fall och upp till 9 månader i andra fall. Rådet föreslog dock enligt uppgift en tidsfrist för ett beslut på upp till 33 månader. Än så länge finns det ingen överenskommelse om användarna kan väcka talan i sitt hemland. Istället kan de bli tvungna att stämma en utländsk dataskyddsmyndighet i en annan EU-jurisdiktion för förseningar. Detta skulle göra det praktiskt taget omöjligt för de flesta människor.
Max Schrems: "I genomsnitt rapporterar myndigheterna en handläggningstid på cirka 8 månader. Vissa av medlemsstaternas förslag är 33 månader. Det här skulle vara första gången som man ens kan ta upp en försening med en domstol, som i sin tur kan ta flera år på sig att besluta om en stämning på grund av en försening. Detta är i princip ett frikort för dataskyddsmyndigheterna att dra ut på förfarandena i all evighet..."
Brist på kunskap om förfarandet. En strukturell orsak till det tvivelaktiga resultatet av denna process kan ha varit att både Europeiska kommissionen, parlamentet och rådet nästan aldrig har behandlat lagstiftning om processrätt. Processrätten är för närvarande en domän för medlemsstaterna. Hittills har EU inte utfärdat någon relevant gränsöverskridande administrativ processrätt. Även inom medlemsstaterna hanteras processrätten vanligtvis av sakkunniga jurister vid särskilda avdelningar vid universitet och specialiserade enheter vid nationella justitieministerier. Sammantaget verkar det som om detta förslag skulle ha behövt mycket mer förberedelser och investeringar för att undvika den nuvarande situationen där EU:s lagstiftare bara verkar sparka burken längs vägen.
Max Schrems: "Det finns en särskild sorts jurister som sysslar med processrätt. Denna kunskap saknades helt klart i det här ärendet. Det är som om jag skulle börja ägna mig åt astrofysik i morgon - resultatet skulle förmodligen inte vara till någon nytta för mänskligheten".
