EU-kommissionen vill vässa tillsynsreglerna i GDPR

EU-kommissionen vill vässa tillsynsreglerna i GDPR

Författare:

|

Datum:

|

EU-kommissionen har aviserat att den förbereder en reform av GDPR som effektiviserar tillsynsreglerna i gränsöverskridande ärenden. Det vill säga när det är fråga om ett tillsynsärende som berör individer i mer än ett EU-land. 

GDPR som trädde i kraft för snart fem år sedan har präglats av oenighet och stridigheter mellan EU:s dataskyddsmyndigheter. Enligt EU-kommissionen ska det kommande förslaget förtydliga reglerna om hur tillsynsärenden ska handläggas. Syftet är att minska interna stridigheter och meningsskiljaktigheter mellan dataskyddsmyndigheterna. 

”Det här initiativet kommer att effektivisera samarbetet mellan nationella dataskyddsmyndigheter när de tillämpar den allmänna dataskyddsförordningen i gränsöverskridande fall”, sade EU-kommissionen i ett meddelande som offentliggjordes på dess webbplats förra veckan.

EU-kommissionen förklarade vidare att det kommande förslaget till förordning skulle harmonisera ”vissa aspekter av det administrativa förfarande som de nationella dataskyddsmyndigheterna tillämpar i gränsöverskridande ärenden” och stödja ett smidigt GDPR-samarbete och mekanismer för tvistlösning i hela EU.

Enligt en artikel som publicerades i Politico den 20 februari 2023 anser experter, aktivister och nationella tillsynsorgan att EU:s tillsynsregler i praktiken visat sig skapa mycket frustration. Tillsynsprocessen i gränsöverskridrande ärenden har visats sig vara mycket ineffektivt för att hantera grova regelbrott, i synnerhet när det gällt tillsynsärenden mot multinationella teknikföretag.  

Tidigare har Irlands dataskyddsmyndighet (Data Protection Commision, DPC) fått mycket kritik för att ha varit alltför slapphänt och tillbakalutad i sin hantering av tillsynsärenden, särskilt i relation till multinationella bolag. Samtidigt har irländska DPC fortfarande en särställning eftersom DPC är den ansvariga tillsynsmyndigheten för de flesta multinationella bolagen som placerat sina huvudkontor på Irland inklusive Apple, Meta och Google.

DPC har varit den ansvariga tillsynsmyndigheten för de flesta tillsynsärenden enligt GDPR. Det gäller även ett ärende som avgjordes förra månaden där den digitala rättighetsorganisationen Noyb (None of your business) lämnat in klagomål mot Meta, för att bolaget i strid med GDPR tvingat användare att lämna samtycken som villkor för att få använda bolagets tjänster.

Noyb lämnade in klagomål gällande Facebook, Instagram och WhatsApp år 2018. Det dröjde mer än fyra år för DPC att fatta beslut om klagomålen, vilket uppges ha berott på EU:s dataskyddsmyndigheter som haft svårt att uppnå konsensus och samsyn. 

Ärendet mot Meta avgjordes i praktiken av European Data Protection Board i januari 2023 som fattade ett tvingande beslut om hur DPC måste avgöra tillsynsärendet mot Meta. DPC ansåg att Meta ska ges en sanktionsavgift på 28-36 miljoner euro, medan EDPB beslutade att sanktionsavgiften skulle vara på 380 miljoner euro. Detta enligt dokument som publicerades av Noyb i januari 2023. 

Läs mer: