
Sverige: Användare är inte part i sina egna integritetsrättigheter?
Den svenska datainspektionen (IMY) vägrar att fatta beslut om ett GDPR-klagomål med motiveringen att användaren inte är en part i sina egna rättigheter. I huvudsak verkar IMY anse att "rätten till ett klagomål" enligt artikel 77 i GDPR, som ska ge alla fri tillgång till verkställighet, endast är en rätt att "göra en framställning" till myndigheten. noyb lämnade idag in ett överklagande till förvaltningsrätten i Stockholm.
En månad enligt GDPR blir tre år i verkligheten. Enligt GDPR har alla rätt att få tillgång till sina uppgifter, inklusive en kopia av alla uppgifter och en förklaring av dataanvändningen. Den lagstadgade tidsfristen för att svara på en begäran om tillgång är en månad. Under 2019, som en del av ett projekt om streamingföretag, lämnade noyb också in ett klagomål mot Spotify på grund av ett ofullständigt svar på en begäran om tillgång. Klagomålet, som lämnades in i Österrike, vidarebefordrades till svenska IMY, som ansvarar för Spotify. Sedan dess har inget beslut fattats i ärendet. Istället hävdar den svenska datainspektionen att den har en bredare utredning av Spotify - i mer än tre år. Den berörda användaren väntar dock fortfarande på att få all relevant information.
Begäran om beslut avvisad. Enligt svensk lag kan en part begära ett beslut inom fyra veckor, om en myndighet inte har fattat beslut inom sex månader. I juni 2022 skickade noyb en sådan begäran till den svenska IMY. Överraskande nog avslog IMY begäran med motiveringen att den registrerade inte var delaktig i förfarandet om hans rätt till tillgång.
"Tänk dig att du inte är part i ett ärende som handlar om ditt bygglov eller din yttrandefrihet. Tanken att vi har en grundläggande rätt till dataskydd i EU, men i Sverige kan du inte få den genomdriven är bara häpnadsväckande. GDPR är tydlig med att du har rätt att lämna in ett klagomål och rätt att överklaga om det inte finns något beslut." - Max Schrems, ordförande för noyb.eu
Administrativ inaktivitet blir godtycklig. Den situation som den registrerade befinner sig i är därför paradoxal. Både GDPR och österrikisk lag tilldelar den klagande rollen som part i tvistemålsförfarandet. När förfarandet skickas till en annan ansvarig myndighet enligt dataskyddsförordningen verkar dessa garantier dock försvinna i verkligheten. Enligt IMY:s tolkning av svensk lag har en klagande ingen möjlighet att delta i förfarandet eller få sina rättigheter tillgodosedda. Därför skulle det vara ett helt godtyckligt beslut av byråkrater om människor kan få sina rättigheter tillgodosedda eller inte - utan någon möjlighet att överklaga om IMY inte känner för att göra sitt jobb.
"Slutsatsen är att IMY säger att de helt enkelt kan ignorera européernas rättigheter enligt GDPR. Detta är varken vad som står i GDPR eller vad rättsstatsprincipen kräver." - Max Schrems, ordförande för noyb.eu
Överklagande av Datainspektionens passivitet. Av dessa skäl beslutade noyb att överklaga IMY:s beslut. Sammanfattningsvis avvisar överklagandet tanken att en registrerad inte är delaktig i ett förfarande som rör hans eller hennes egna rättigheter. Om överklagandet bifalls kommer IMY att behöva säkerställa användarnas rättigheter i enlighet med GDPR.