Artikel 52 GDPR ska säkerställa att dataskyddsmyndigheter garanteras en oberoendeställning att självständigt och objektiv tolka och tillämpa dataskyddsbestämmelser när de utför uppgifter som de tilldelats genom GDPR. Dataskyddsmyndigheterna skyddas från påverkan från politiken, andra delar av staten och privata intressen.

Nu har den belgiska dataskyddsmyndigheten yttrat sig om ett utkast till lag som regeringen lagt fram. Den belgiska regeringen vill reformera en inhemsk lag som inrättar den belgiska dataskyddsmyndigheten och reglerar dess interna struktur och mandat.

Den belgiska dataskyddsmyndigheten stöder huvudprinciperna i utkastet till lag, som syftar till att stärka dataskyddsmyndigheten. Samtidigt varnar dataskyddsmyndigheten för att lagförslaget innehåller problematiska inslag som allvarligt hotar dess oberoende och förmåga att arbeta effektivt. Dataskyddsmyndigheten understryker att dess oberoende garanteras av EU-rätten enligt fördragen och av EU-domstolens rättspraxis. Den belgiska dataskyddsmyndigheten betonar också vikten av en stark och oberoende dataskyddsmyndighet när digitaliseringen accelererar.  

Förtida entledigande av befattningshavare strider mot EU-rätten
Dataskyddsmyndigheten kritiserar för det första att lagförslaget kommer att leda till att utnämnda befattningshavare till följd av en juridisk omstrukturering entledigas (befrias från sina uppdrag) innan deras förordnande gått ut.

Den belgiska dataskyddsmyndigheten anser att detta strider mot EU-rätten och hänvisar till mål C-288/12, där EU-domstolen slog fast att Ungern hade brutit mot EU-fördragen (Brott mot EU-fördragen kan likställas med ett grundlagsbrott i en statsbildning, redaktionens anmärkning). I september 2008 utnämnde det ungerska parlamentet András Jóri till ungersk dataskyddskommissionär för en period på sex år, fram till september 2014. Det ungerska parlamentet reformerade dock dataskyddskommissionärens ämbete och ersatte det med en ny myndighet Nemzeti Adatvédelmi és Információszabadság Hatóság (den nationella myndigheten för uppgiftsskydd och informationsfrihet), från och med januari 2012 utsågs Attila Péterfalvi till chef för den nya myndigheten. EU-domstolen slog fast att Ungern bröt mot EU-rätten. Ungern hade brutit mot bestämmelsen som skyddar dataskyddsmyndigheternas oberoende genom att hindra Jóri från att tjänstgöra som chef för den nya myndigheten fram till slutet av sin mandatperiod.

Dataskyddsmyndigheten anser att politisk detaljstyrning strider mot EU-rätten
För det andra kritiserar den belgiska dataskyddsmyndigheten att lagförslaget innebär att den politiska styrningen går längre än vad EU-rätten tillåter. Enligt lagförslaget krävs att det belgiska representanthuset har utvärderat ledamoten positivt för att han eller hon ska kunna väljas om för en ny mandatperiod. Den belgiska dataskyddsmyndigheten varnar för att det både är problematiskt att utvärderingen görs av representanthuset och att de objektiva kriterierna för utvärderingen inte anges i en lag. Detta anses öka risken för att befattningshavare utsätts för påtryckningar som påverkar hur de utövar sitt uppdrag.

Dessutom är dataskyddsmyndigheten kritisk till det faktum att lagförslaget kraftigt ökar parlamentets detaljstyrning av myndighetens interna organisation och prioriteringar. Enligt lagförslaget måste dataskyddsmyndigheten få sin strategiska plan godkänd av representanthuset, myndighetens interna arbetsordning kommer bestämmas av representanthuset och dataskyddsmyndigheten blir skyldig att lämna över en lista på alla experter som biträder den. Slutligen föreskriver lagförslaget hur myndigheten ska fördela sin personal mellan sina olika avdelningar.

Belgiska dataskyddsmyndigheten hänvisar till fallet C-518/07, där Europeiska kommissionen drog Tyskland inför EU-domstolen för brott mot EU-fördragen. Skälet var att tysk federal och delstatlig lagstiftning satte de tyska dataskyddsmyndigheternas tillsynsbeslut under lupp. EU-domstolen slog fast att det är olagligt enligt EU-rätten att medlemsstaterna granskar hur dataskyddsmyndigheterna tolkar och tillämpar EU-rätt. EU-domstolen slog fast att sådana metoder hindrar dataskyddsmyndigheter från att vara helt oberoende.

EU-domstolen betonade att oberoendet inte står i motsättning till att dataskyddsmyndigheterna har demokratisk legitimitet. Dataskyddsmyndigheter är enligt domstolen väktare av rätten till privatliv som mänsklig rättighet skyddad av EU-rätten. Domstolen påpekar att andra delar av staten kan vara partiska och ha ett egenintresse och en vilja att begränsa en dataskyddsmyndighets handlingsförmåga. En stat kan exempelvis ha en tendens att främja ekonomiska intressen hos vissa bolag som är betydelsefulla för dess ekonomi. Eller så kan staten själv ha ett starkt egenintresse av att få tillgång till speciella register med personuppgifter för att driva in skatt resonerade EU-domstolen. Slutligen konstaterade EU-domstolen att blotta risken för att dataskyddsmyndigheterna kan utsättas för formella eller informella politiska påtryckningar är tillräckligt för att bryta mot EU-rätten.

Läs mer:

Belgiska dataskyddsmyndighetens pressmeddelande med länk till yttrandet på Engelska

EU-domstolens dom i mål C‑288/12, Europeiska kommissionen mot Ungern

EU-domstolens dom i mål C-518/07, Europeiska kommissionen mot Tyskland