IMY kommenterar förslag om GDPR-klagomål

Författare:

|

Datum:

|

Integritetsskyddsmyndigheten (IMY) har yttrat sig över EU-kommissionens förslag till förordning med kompletterande förfaranderegler i gränsöverskridande ärenden enligt GDPR (publicerat av EU-kommissionen i juli 2023). IMY:s remissvar publicerades den 20 oktober 2023. Även om IMY i allmänhet är positivt inställda till EU-kommissionens förslag, ser myndigheten vissa problem. 

Bakgrund till EU-kommissionens förslag
Kommissionen föreslår att vissa bestämmelser i GDPR ska omarbetas. Det gäller reglerna för hur ett klagomål ska hanteras av dataskyddsmyndigheter i gränsöverskridande ärenden. Det vill säga när ett tillsynsärende hanteras av dataskyddsmyndigheter i mer än ett EU-land.

I huvudsak föreslår EU-kommissionen att den ansvariga tillsynsmyndigheten ska skicka en sammanfattning av de viktigaste punkterna i klagomålet till de andra berörda tillsynsmyndigheterna tidigt i processen. De nya bestämmelserna syftar till att effektivisera hanteringen av gränsöverskridande ärenden genom att reglerna föreskriver att de inblandade dataskyddsmyndigheterna ska samarbeta och uppnå konsensus tidigt i handläggningen.

Vidare kommer de nya reglerna att klargöra vad enskilda personer behöver inkludera i sina klagomål och säkerställa att den klagande ges rätten att vara delaktig i behandlingen av klagomålet. Förslaget förtydligar också vilka rättigheter företagen har när dataskyddsmyndigheterna utreder eventuella överträdelser av GDPR, så att företagen snabbare kan få tillgång en rättslig prövning och bättre rättssäkerhet. Reformen syftar därmed till att harmonisera förfarandereglerna i GDPR som rör gränsöverskridande ärenden.

I detta sammanhang bör det påpekas att dessa ändringar endast gäller fall där ett klagomål enligt GDPR behandlas av dataskyddsmyndigheter i mer än en medlemsstat. Andra bestämmelser i GDPR, såsom de registrerades rätt till tillgång eller nationella tillsynsärenden, påverkas inte.

Yttrande från IMY
I sitt remissvar konstaterar IMY att gränsöverskridande ärenden utgör en betydande del av myndighetens operativa verksamhet och också utgör en av dess största utmaningar. Därför ställer sig myndigheten positiv till EU-kommissionens strävan att förenkla och harmonisera handläggningsreglerna för gränsöverskridande ärenden.

Medan IMY är positiva till förslaget att bestämmelserna bör klargöra vilken information klagande måste tillhandahålla när de lämnar in ett klagomål, finns det andra aspekter av förslaget som IMY inte är lika positiva till. IMY anser att förslaget är mer detaljerat och formellt än vad som är nödvändigt för att uppnå målen med förslaget, och att detta kommer att öka den administrativa bördan för tillsynsmyndigheterna. IMY lägger fram två alternativa lösningar för att undvika vad myndigheten ser som onödig byråkrati. Myndigheten föreslår att reglerna antingen görs mer flexibla eller att tillämpningsområdet för de EU-gemensamma handläggningsreglerna bara omfattar de komplicerade och omfattande gränsöverskridande fallen.

När tillsynsmyndigheter i EU:s medlemsstater tillämpar EU-lagstiftning och utövar sina tillsynsbefogenheter, styrs förfarandet samtidigt av EU-lagstiftning och nationell förvaltningsrätt. Detta innebär att dataskyddsmyndigheter i olika medlemsstater kommer att hantera klagomål enligt GDPR på olika sätt om det finns skillnader i nationell förvaltningsrätt. Om det införs EU gemensamma regler för gränsöverskridande ärenden såsom EU-kommissionen föreslår kommer dessa att tränga undan nationella regler.

IMY varnar för att de föreslagna harmoniserade EU-reglerna skulle begränsa rätten till partsinsyn enligt förvaltningslagen och rätten att ta del av allmänna handlingar samt yttrande- och meddelarfriheten på ett sätt som är svårt att förena med svenska grundlagar.

Hur de föreslagna reglerna ger den klagande en partsliknande ställning
I Sveriges nationella förvaltningsrättsliga system ges den som klagar på ett företags behandling av personuppgifter inte samma partsställning som i andra EU-länder. Låt oss bryta ner detta med ett exempel. Anna bor i Sverige och känner att hennes personuppgifter hanteras felaktigt av företag B. Hon bestämmer sig för att klaga hos IMY. Efter att ha lämnat in sitt klagomål blir Annas roll i den efterföljande utredningen mycket begränsad. Hon betraktas inte som ”part” i sitt eget fall, vilket innebär att hon inte kan ge sin syn på företag B:s invändningar och hon kan inte heller överklaga det slutliga beslutet som fattas av IMY. Hennes klagomål blir i huvudsak en fråga mellan IMY och företag B, och Anna lämnas utanför.

Om vi nu utvidgar detta scenario till ett europeiskt sammanhang blir saker och ting mer komplicerade. Anta att företag B är baserat i Irland och att en nederländsk medborgare vid namn Caesar ungefär samtidigt som Anna lämnar in ett liknande klagomål. I detta gränsöverskridande ärende spelar olika nationella lagar in, vilket kan ge Caesar större rätt att delta än Anna, eftersom nederländsk förvaltningsrätt även ger den klagande ställning som part. Därmed får de olika inflytande i processen enbart för att de bor i olika EU-länder.

EU-kommissionen vill likrikta dessa förfaranden och se till att klagande behandlas som berörda parter. Om företag B vore ett svenskt företag skulle de föreslagna harmoniserade reglerna inte gälla och Anna skulle inte ha rätt att bli hörd eftersom de föreslagna reglerna bara omfattar gränsöverskridande fall. I sitt svar förklarar IMY att detta skulle leda till att personer i Sverige som lämnar in klagomål möts av motstridiga administrativa förfaranden beroende på om deras klagomål enbart ska hanteras i Sverige eller om det är ett gränsöverskridande ärende.

Läs mer: 

EU-kommisionens pressmeddelande, 2023-07-04

IMY:s yttrande, 2023-10-20