GDPR-förfarandeförordningen: Kommissionens förslag är en attack mot användarnas rättigheter i GDPR-förfaranden
I dag har EU:s justitiekommissionär Reynders lagt fram ett förslag för att åtgärda (bristen på) samarbete mellan vissa dataskyddsmyndigheter (DPA). För närvarande säger GDPR bara att dataskyddsmyndigheterna ska samarbeta, men saknar detaljer om hur detta samarbete ska fungera. Tyvärr verkar kommissionens förslag vara tekniskt och materiellt bristfälligt och snarare beröva medborgarna befintliga rättigheter än att säkerställa att de efterlevs. Idealiskt sett skulle en ny förordning kunna följa etablerade principer på hög nivå för gränsöverskridande förfaranden - vilket skulle leda till mindre inblandning i nationella förfaranden och större rättssäkerhet.
- Länk till kommissionens förslag
- Pressmeddelande från kommissionen
- Noyb-förslaget finns på https://gdpr-procedure.eu/
Bakgrund. GDPR säger än så länge att nationella dataskyddsmyndigheter måste samarbeta med varandra, men detaljerna i förfarandena lämnas till medlemsstaterna. Det finns inga tydliga bestämmelser om lagkonflikter som skulle reglera vilken nationell lag som är tillämplig på vilken del av förfarandet. De delar som omfattas av EU-rätten är begränsade till vissa steg i samarbetsförfarandet. Detta ledde till många konflikter mellan dataskyddsmyndigheter, ända fram till en stämning från den irländska dataskyddsmyndigheten mot Europeiska dataskyddsstyrelsen (EDPB) för påstådda övertramp från EU:s samordningsorgan.
Max Schrems:"Dataskyddsförordningen säger i princip att dataskyddsmyndigheterna ska "samarbeta", men de har alla olika syn på hur förfarandena ska fungera och vilken nationell lag som ska tillämpas på vilket steg. Dessutom har vissa medlemsstater antagit förfaranderegler som syftar till att undergräva GDPR-förfarandena. I andra medlemsstater har dataskyddsmyndigheter och domstolar utvecklat praxis som inte är förenlig med EU:s minimistandarder. Denna situation gör att gränsöverskridande förfaranden ofta är extremt långsamma och röriga."
Kommissionens tillvägagångssätt bristfälligt. Kommissionens förslag verkar huvudsakligen baseras på (vissa) dataskyddsmyndigheters krav på att ta bort medborgare från förfaranden för att "förenkla" dem. När kommissionen försöker åtgärda problem försöker den bara täppa till enskilda hål i systemet, vilket framkom i de första större fallen mellan den irländska dataskyddsmyndigheten och dess europeiska motparter. Förutom i befintliga EU-förordningar om gränsöverskridande förfaranden (som "Bryssel"- eller "Rom"-förordningarna) tar kommissionens förslag inte ett systematiskt tillvägagångssätt, som delegerar jurisdiktion till medlemsstaterna för vissa delar av förfarandet och säkerställer att det finns europeiska minimistandarder. Istället verkar kommissionens förslag implantera vissa europeiska element i befintliga lagar - vilket leder till en hybrid mellan EU-lagar och nationella lagar och förfaranden.
Obalans mellan användare och företag. Även om vissa nyckelelement som skulle leda till snabbare förfaranden - t.ex. betydande tidsfrister för den ansvariga tillsynsmyndigheten som utreder ett gränsöverskridande ärende - i stort sett saknas, skulle kommissionens strategi till och med förskjuta den redan problematiska balansen mellan vapen i dataskyddsärenden ytterligare till företagens fördel. Medan medborgarna endast kommer att höras på ett minimalt sätt, ger utkastet företagen omfattande rättigheter: de hörs under hela förfarandet och får tillgång till ärendehandlingarna. Detta kan leda till att befintliga problem cementeras inför ogenomskinliga tillsynsmyndigheter som Datainspektionen, snarare än att de löses.
Max Schrems:"Vi hoppades på en lösning, men detta innebär i grunden att ett förfarande som handlar om användarnas rättigheter ändras till ett förfarande som handlar om företagens rättigheter. Vi måste studera förslaget mer i detalj, många delar är helt klart ett steg tillbaka för användarnas rättigheter. Vi tror att det skulle finnas mer traditionella sätt att hantera problemen som samtidigt skulle inkräkta mindre på nationella processuella lagar och vara mycket enklare - samtidigt som problemen skulle lösas på en systematisk nivå. Vi kommer att samarbeta med de europeiska lagstiftarna för att se om förslaget kan åtgärdas, men det verkar som om det är en lång väg att gå."
Vägen framåt. Kommissionens förslag har ett mycket snävt tidsschema, med tanke på att EU-kommissionens mandatperiod löper ut 2024. Förslaget måste nu gå vidare till Europaparlamentet och medlemsländerna, som måste enas om en slutlig version. Det är oklart om det nuvarande förslaget kommer att välkomnas av de andra europeiska lagstiftande organen. noyb kommer att följa processen noga.
