Irland gör tveksamma GDPR-ärenden "konfidentiella".
Irländska dataskyddsmyndigheten kommer sannolikt att använda avsnitt 26A för att tysta kritik.
Trots djupgående kritik från civilsamhället(ICCL, Amnesty, EDRi, BEUC) och hårt motstånd i det irländska parlamentet har Irland antagit en lag som gör det möjligt för den irländska dataskyddskommissionen (DPC) att kriminalisera alla som delar information om pågående förfaranden. Även om lagen inte är tydlig och sannolikt strider mot grundlagen, kommer den att vara ett verktyg för att ytterligare sätta press på klagande när de protesterar mot den irländska dataskyddsmyndigheten. Lagen har begärts av DPC och syftar till att tysta ideella organisationer. Trots antagandet av denna"lex noyb" kommer noyb inte att begränsa legitimt offentligt tal om fall som de är engagerade i.
- Bakgrund om avsnitt 26A och varför det är problematiskt
- Se debatten i det irländska parlamentet
- Här hittar du utskriften av parlamentsdebatten
Avsnitt 26A godkändes av den irländska regeringens majoritet. Mot kritik från alla oppositionspartier och till och med två medlemmar av regeringskoalitionen har regeringsmajoriteten bestående av Fine Gael (EPP), Fianna Fáil (Renew) och De gröna antagit ett tillägg till dataskyddslagen som gör det möjligt för dataskyddsmyndigheten att förklara dokument som "konfidentiella". Under den långa debatten om detta ändringsförslag utsattes James Browne, som företräder justitieministeriet, för hårda påtryckningar. Ledamöter av det irländska parlamentet ifrågasatte upprepade gånger inverkan på yttrandefriheten, samarbetet med EDPB och den geografiska tillämpningen.
Max Schrems:"Jag antar att vår kamp för en korrekt tillämpning av GDPR var så effektiv att DPC nu försöker kriminalisera oss. Vi trodde inte att detta skulle vara möjligt i en europeisk demokrati. DPC och det irländska justitieministeriet följer Orbans fotspår med denna lag."
Omfattningen av avsnitt 26A ifrågasatt. Medan regeringen anser att DPC endast kan hävda "sekretess" under mycket specifika omständigheter och för specifik information, har DPC tidigare (utan någon rättslig grund) förklarat hela förfaranden konfidentiella. Lagen föreskriver inte någon omedelbar åtgärd för en sådan olaglig praxis.
Max Schrems:"Det finns fortfarande stora frågetecken kring lagligheten i avsnitt 26A. DPC missbrukade lagen redan innan detta tillägg antogs, jag förväntar mig att de bara känner sig uppmuntrade nu. Eftersom lagenligheten och innebörden av avsnitt 26A ifrågasätts är det mycket troligt att denna kamp nu flyttar från den politiska arenan till domstolarna."
Avsnitt 26A kriminaliserar grundläggande utbyten. Avsnitt 26A kan användas av DPC för att förbjuda delning av dokument med andra klagande, andra tillsynsmyndigheter eller till och med EDPB. De många människor som är missnöjda med förfarandet inför DPC skulle kunna drabbas av straffrättsliga påföljder när de framför offentlig kritik. Oberoende av om påföljderna faktiskt verkställs kommer blotta hotet om en straffrättslig påföljd att tysta de flesta.
Strider avsnitt 26A mot EU:s och Irlands lagstiftning? Vanligtvis har lagar som begränsar användningen av information ett undantag för yttrandefriheten. I avsnitt 26A nämns att information får användas när det är "tillåtet enligt lag" - vilket verkar göra det möjligt att åberopa yttrandefriheten. Det är dock troligt att DPC kommer att försöka väcka åtal mot den som åberopar ett undantag för yttrandefrihet.
Max Schrems: "Alla juridiska experter som vi har talat med anser att avsnitt 26A i sig strider mot irländsk lag och EU-lag. Den skulle kunna tolkas så att den fortfarande tillåter yttrandefrihet, men DPC kommer sannolikt att motsätta sig det förslaget. Detta kommer bara att leda till fler och fler rättstvister om förfaranden, istället för att få saker gjorda."
Irländsk lag kan inte utsträckas till resten av EU. Medan DPC tidigare har ansett att dess beslut eller regler skulle gälla i andra EU-medlemsstater, är irländsk straffrätt begränsad till uppförande inom Irland. På samma sätt klargörs i artikel 55.1 i GDPR att varje dataskyddsmyndighet endast har jurisdiktion i sin egen medlemsstat. Utöver irländsk lag hindrar därför EU-lagstiftningen DPC från att tillämpa Section 26A utanför Irland.
Max Schrems: "Även om Section 26A kommer att bli ett stort problem för personer på Irland, är det tydligt att den inte kan tillämpas på personer utanför Irland. Irland har ingen jurisdiktion att reglera yttrandefriheten i resten av Europeiska unionen."
EU-samarbetet under ytterligare spänning. Medan i princip alla andra dataskyddsmyndigheter ger obegränsad tillgång till handlingar (med undantag för faktiska affärshemligheter och liknande), har vissa medlemsstater och EDPB ytterligare skyldigheter enligt lagar om informationsfrihet. Den irländska dataskyddsmyndighetens exceptionella tillvägagångssätt att helt enkelt förklara hela förfaranden "konfidentiella" skapar sannolikt ytterligare spänningar mellan den irländska dataskyddsmyndigheten och EDPB - vid en tidpunkt då dataskyddsmyndigheten redan har stämt EDPB inför europeiska domstolar. EU-lagstiftningen är överordnad nationell lagstiftning, men DPC har använt sådana skillnader för att i praktiken ignorera krav från andra dataskyddsmyndigheter eller EDPB.
Max Schrems: "Det är tydligt att EU-rätten trumfar irländska munkavleförelägganden, men i själva verket kommer DPC att använda detta för att blockera förfaranden mot big tech ännu mer. Det finns trots allt ingen europeisk polis som skulle kunna genomdriva EU-lagstiftningen mot DPC. Vi är på väg mot en ännu mer konfrontativ era med DPC."
noyb kommer inte att begränsa offentlig information. noyb har hittills delat dokument i den utsträckning som är relevant och nödvändigt för att utöva yttrandefriheten. I motsats till vissa påståenden från DPC och big tech om "läckage" erhölls dessa dokument alltid i full överensstämmelse med lagen, såsom lagar om informationsfrihet eller tillämpliga procedurlagar utanför Irland. noyb utvärderar för närvarande alternativ, men för att säkerställa att vi fortsätter att följa lagen fullt ut kan vi behöva begränsa viss information från att vara tillgänglig i Irland. Med tanke på att dataskyddsmyndigheten sannolikt kommer att försöka genomdriva avsnitt 26A även utanför Irland, kan man förvänta sig att EU-förfaranden mot stora teknikföretag i Irland kommer att drabbas av ännu fler processuella dödlägen som skapats av dataskyddsmyndigheten. Andra dataskyddsmyndigheter kommer att behöva kämpa ännu hårdare för att få ut filer och dokument från DPC, som sannolikt kommer att missbruka avsnitt 26A för att fortsätta att skydda big tech.
Max Schrems:"Vi kommer inte att böja oss för en grundlagsstridig lokal lag. Detta kan dock innebära att viss information som vi tillhandahåller inte längre kommer att vara tillgänglig i Irland. DPC och Meta har tidigare hotat stämningar, men aldrig följt igenom - troligen för att de vet att de skulle förlora ett sådant fall. Vi måste dock förvänta oss att DPC kommer att använda denna nya bestämmelse för att iscensätta ännu mer processuellt drama."
