Europaparlamentet har antagit sin förhandlingsposition om ytterligare förfaranderegler för tillämpningen av dataskyddsförordningen (GDPR) med 329 röster för, 213 emot och 79 nedlagda röster. GDPR, som harmoniserar EU-medborgarnas dataskyddsrättigheter och säkerställer det fria flödet av personuppgifter mellan medlemsstaterna, verkställs av oberoende nationella dataskyddsmyndigheter. Det nuvarande förslaget syftar till att underlätta de nationella dataskyddsmyndigheternas samarbete, konkretisera mekanismer för tvistlösning och harmonisera vissa förfaranderegler och rättigheter.
I sin ståndpunkt om den nya lagen betonar ledamöterna att alla parter har rätt till lika och opartisk behandling oavsett var deras klagomål lämnades in, deras rätt att höras innan någon åtgärd vidtas som kan påverka dem negativt, och deras rätt till insyn i förfarandet, inklusive tillgång till en gemensam ärendeakt.
För att förtydliga och effektivisera gränsöverskridande förfaranden vill parlamentet stärka bestämmelserna om gemensamma ärendeakter. Dessa ska innehålla all information som rör ett ärende, och berörda tillsynsmyndigheter ska ha “omedelbar, obegränsad och kontinuerlig” tillgång till den gemensamma ärendeakten. Parterna i klagomålet ska också ha tillgång till den gemensamma ärendeakten, med undantag för bestämmelser om interna överläggningar.
Ledamöterna vill också standardisera tidsfristerna för förfaranden och de föreslår en tidsfrist på två veckor för en tillsynsmyndighet att bekräfta att de har mottagit ett klagomål och förklara det godtagbart eller icke godtagbart. Därefter skulle myndigheten ha tre veckor på sig att avgöra om ärendet är gränsöverskridande och vilken myndighet som ska vara huvudansvarig. Utkast till beslut måste levereras inom nio månader från mottagandet av klagomålet, förutom i vissa exceptionella situationer.
Ledamöterna vill förtydliga reglerna om uppgörelser i godo (samförståndslösningar, förhandlingslösningar på tvister) genom att ange att sådana uppgörelser bör kräva parternas uttryckliga samtycke. Ledamöterna vill också fastställa att en uppgörelse i godo inte hindrar en dataskyddsmyndighet från att inleda en utredning på eget initiativ i ärendet, och att andra dataskyddsmyndigheter kan begära att den ledande myndigheten inleder en sådan utredning. Slutligen skulle ståndpunkten också säkerställa att alla parter i klagomålsförfaranden har rätt till effektiva rättsmedel, till exempel när dataskyddsmyndigheter inte vidtar nödvändiga åtgärder eller följer tidsfrister.
Bakgrunden till de nya förfarandereglerna är att parlamentet redan två år efter att GDPR började tillämpas uttryckte sin oro över “de nationella dataskyddsmyndigheternas ojämna och ibland obefintliga tillämpning av GDPR”. Parlamentet underströk att utdragna förfaranden kan ha en “negativ inverkan på en effektiv tillämpning och på medborgarnas förtroende”.
I sin första utvärderingsrapport om GDPR konstaterade EU-kommissionen att hanteringen av gränsöverskridande fall borde vara “effektivare och mer harmoniserad i hela EU”, vilket ledde till det aktuella förslaget. Enligt artikel 97 i GDPR ska kommissionens nästa utvärderingsrapport lämnas in fyra år efter den föregående.
Nästa steg i processen är att ärendet återförvisades till utskottet för interinstitutionella förhandlingar och kommer att därefter följas upp av det nya parlamentet efter valet till Europaparlamentet den 6-9 juni 2024.