Irland skärper sekretessen för GDPR-klagomål

Författare:

|

Datum:

|

Flera organisationer som främjar digitala rättigheter, däribland NOYB (None of your business), slår larm om en ny lag som antagits av det irländska parlamentet. Organisationerna varnar för att den rättsliga processen för att hantera klagomål mot stora teknikföretag enligt GDPR kommer att bli mer komplicerad och omgärdas av hemlighetsmakeri.

Irlands parlament har antagit en lag som ger den irländska dataskyddsmyndigheten DPC (Data Protection Commission) rätt att hindra den som är part i ett klagomål från att dela med sig av information. Parlamentet har beslutat att kriminalisera brott mot sekretessen. Till exempel att en individ inte får dela med sig av vad företaget denne klagat på har svarat till DPC.  

Den irländska dataskyddsmyndigheten ansvarar för att utreda den absoluta merparten av GDPR-klagomål rörande multinationella företag som Microsoft, Amazon och Facebook. Detta beror på att de flesta företagen valt att placera sina europeiska huvudkontor i Irland.

Den nya lagen ger DPC nya befogenheter att hemligstämpla dokument som ingår i tillsynsärenden. Kritiker menar att lagen är tvetydig, att den förmodligen strider mot den irländska grundlagen och att den kan påverka yttrandefriheten och hindra utbytet av dokument med dataskyddsmyndigheter i andra medlemsländer och European Data Protection Board.

Lagen, som kallas ”Section 26A”, har kritiserats för att den kan missbrukas av DPC. Bland kritikerna finns Max Schrems, känd dataskyddsaktivist. I ett pressmeddelande från Noyb säger han ”Det finns fortfarande stora frågetecken kring lagligheten i avsnitt 26A. DPC missbrukade redan lagen innan detta ändringsförslag antogs, och jag förväntar mig att de känner sig stärkta nu. Eftersom lagligheten och innebörden av avsnitt 26A ifrågasätts, är det mycket troligt att den här kampen nu flyttas från den politiska arenan till domstolarna.”

NOYB påpekar också att den nya lagen ger DPC befogenhet att hemligstämpla klagomålsförfaranden i sin helhet. Organisationen menar att detta strider mot den praxis som tillämpas av andra dataskyddsmyndigheter, där en klagande som part i ärendet vanligtvis har obegränsad tillgång till handlingar, med undantag för affärshemligheter och känslig information.

Förra veckan gav en representant för DPC sin syn på saken i en intervju. I det senaste avsnittet av podcasten ”Tech Talk” talade Jess Kelly med DPC:s chefsjurist Fleur O’Shea om Amendment 26A. O’Shea klargjorde att lagändringen är avsedd att underlätta för myndigheten att dela av information med parter som är inblandade i utredningen av ett tillsynsärende. Det gör det möjligt för DPC att dela material med en enskild person och förplikta denne att hålla informationen hemlig tills beslutsprocessen är avslutad. O’Shea avvisade kritiken om att den nya lagen skulle kunna användas för att tysta ner kritiker av DPC sätt att hantera ärenden. Hon förklarade att DPC kommer fatta besluten om sekretess separat i varje enskilt fall som den möjligheten används och besluten är tidsbegränsade.

Läs mer:

Noyb, pressmeeddelande, ”Irish Gov makes critizising Big Tech and Irish DPC a crime!”, 26 Juni 2023

Noyb, pressmeddlande, ”Ireland: Corrupt GDPR procedures now ’confidential’”, 29 juni 2023

Podcasten ”Tech Talk”, avsnitt ”DPC on the controversial ’Section 26a’, 30 juni 2023 (endast tal på engelska, ej textat)