EU-kommissionen vill öka skyddet av privat data
BRYSSEL 4 juli 2023Dataskyddsförordningen, känd som GDPR, som infördes för fem år sedan för att skydda personuppgifter, har anklagats för att vara ineffektivt av frivilligorganisationer och forskare. Nu lanserar EU-kommissionen ett förslag om nya regler för att skyddet ska fungera bättre men förändringarna är begränsade.
– Idag lägger vi fram detta förslag för att visa att vi kan göra ett bättre jobb med att få en snabbare och effektivare handläggning av ärenden, sade Didier Reynders, kommissionär för rättsliga frågor när han presenterade förslaget på tisdagen.
Reynders ville gärna framhäva att dataskyddsförordningen varit framgångsrik i och med att nationella dataskyddsmyndigheter har fattat beslut i över 700 ärenden sedan förordningen trädde i kraft. Men såväl forskare som frivilligorganisationer som driver frågan om integritet och personskydd på nätet är mindre imponerade och har pekat på att många ärenden har fastnat hos nationella myndigheter och på att det finns stora skillnader mellan hur de hanteras i olika EU-länder.
Frivilligorganisationen noyb, baserad i Österrike, har till exempel rapporterat att av de över 800 ärenden som de har drivit sedan dataskyddsförordningen trädde i kraft har 470 väntat på ett avgörande i över 1,5 år. Detta mycket på grund av de stora skillnaderna som finns i hur ärendena hanteras från land till land och en bristande samordning mellan myndigheter då flera länder är involverade. Även den Europeiska dataskyddsstyrelsen har pekat på problem med förordningen och vände sig förra året till EU-kommissionen med en önskelista på saker som behöver förändras i den.
Vill harmonisera och öka samordningen
Kommissionens nya förslag går ut på att ge ramar för att processerna mellan medlemsländerna ska bli mer lika samt öka samordningen mellan olika nationella myndigheter.
– Vi föreslår att klaganden ska mötas samma procedur oberoende av var de finns eller vilken myndighet de vänder sig till, sade Reynders.
Men en av de starkast kritiserade delarna i dataskyddsförordningen lämnas oförändrad i kommissionens förslag – principen om en enda kontaktpunkt. Den innebär att det blir myndigheten i det land där företaget som anklagas för att ha brutit mot dataskyddslagar har sitt huvudkontor som är huvudansvarig för att utreda ärendet. Det lägger mycket av bördan på dataskyddsmyndigheten på Irland, där många av de största teknikföretagen har sina huvudkontor, samt i viss utsträckning även på Luxembourgs myndighet.
– Vi försöker att förenkla processen för dessa. Och förstärka deras kapaciteter, sade Reynders.
Begränsat i sin omfattning
Maria Magierska, forskare i EU:s dataskyddslag vid European University Institute i Florence tycker att kommissionens förslag är ett bra första steg, och lyfter särskilt fram att det också sätter maxgränser för hur långt olika steg i processen får ta. Men hon poängterar att förslaget samtidigt är begränsat till sin omfattning.
– Man försöker undvika både att harmonisera procedurerna [mellan olika länder] för mycket samt att riva upp dataskyddsförordningen.
Hon ser också problem med att företagen som anklagas för att bryta mot förordningen får göra sin röst hörd i mycket i större utsträckning än de klagande.
– För närvarande ser jag problem som absolut kommer att behöva hanteras. Det är mycket oklarheter kring vad detta kan resultera i.