GDPR: prosessregler for håndheving
Foreløpig holdning (forhandlingsmandat) vedtatt av Rådet 13.6.2024 med pressemelding
Tidligere
- Forslag til europaparlaments- og rådsforordning lagt fram av Kommisjonen 4.7.2023
- Felles EØS/EFTA-kommentar sendt til EU-institusjonene 29.2.2024 med pressemelding
- Foreløpig holdning vedtatt av Europaparlamentet 10.4.2024
Bakgrunn
BAKGRUNN (fra Kommisjonens pressemelding 4.7.2023)
Sammendrag av innhold
Personvernforordningen (GDPR, reg. 2016/679) inneholder en one-stop-shop-mekanisme som skal anvendes i saker der en virksomhet er etablert i flere EØS-stater. Saker mot virksomheten skal behandles av datatilsynet i det landet der virksomheten har sin hovedetablering. Tilsynsmyndighetene i de berørte landene skal samarbeid om saken. Personvernforordningen inneholder bestemmelser om saksbehandling i saker der tilsynsmyndighetene ikke blir enige. EU-kommisjonens første evaluering av personvernforordningen avdekket at det er behov for å effektivisere dette samarbeidet. Det fremsatte forordningsforslaget tar derfor sikte på å strømlinjeforme samarbeidet mellom ulike nasjonale datatilsyn når de håndhever personvernforordningen i slike grenseoverskridende saker.
Forslaget pålegger den ledende tilsynsmyndigheten å utarbeide et sammendrag av saken til andre berørte tilsyn der de identifiserer hovedelementene i saken og tilkjennegir sitt syn, slik at også andre tilsyn tidlig kan tilkjennegi sitt syn på saken. Forslaget tar sikte på å redusere uenigheter mellom tilsynene og legge til rette for felles forståelse av saken på et tidlig stadium. Dersom de berørte tilsynene ikke blir enige om en felles forståelse av saken, åpner forslaget for at Det europeiske personvernrådet (EDPB), gjennom en hasteprosedyre, kan vedta en bindende resolusjon som løser slike uenigheter på et tidlig stadium i saksbehandlingen. For å sikre smidig og rask behandling av sakene inneholder forslaget en rekke konkrete frister for saksbehandlingen. Det foreslås også enkelte presiserende regler som skal effektivisere behandling av saker som bringes inn for EDPB til tvisteløsning, blant annet hvilke opplysninger den ledende tilsynsmyndigheten skal gi EDPB når den forelegger saker for rådet.
For enkeltpersoner vil forslaget klargjøre hvilke opplysninger som skal inngå i en klage til tilsynsmyndigheten, blant annet ved at det tas i bruk et standardisert klageskjema. Reglene skal også sikre at klageren blir hørt og tilfredsstillende involvert på ulike stadier i saksbehandlingen. Forslaget gir videre klageren rett til å bli hørt dersom tilsynsmyndigheten vurderer å helt eller delvis avvise klagen. Forslaget inneholder også bestemmelser om klagers rett til dokumentinnsyn.
For virksomhetene det klages på vil reglene klargjøre deres partsrettigheter, blant annet retten til å bli hørt på ulike stadier i saksbehandlingen og retten til dokumentinnsyn.
Forslaget tar ikke sikte på å endre GDPR, men kun supplere GDPR i saker som behandles etter samarbeidsmekanismen i GDPR kap. VII.
Merknader
Rettslige konsekvenser
Forordningsforslaget gjelder for behandling av alle saker etter GDPR som berører virksomheter og tilsynsmyndigheter i flere land. I slike saker vil forordningens bestemmelser, dersom den innlemmes i EØS-avtalen og gjennomføres i norsk rett, gå foran forvaltningsloven og offentlighetsloven ved ev. motstrid.
Økonomiske og administrative konsekvenser
Rettsakten får konsekvenser for Datatilsynets behandling av grenseoverskridende saker etter GDPR. Frister, dokumentinnsyn og dialog med berørte parter og andre tilsynsmyndigheter vil følge den foreslåtte forordningen i stedet for forvaltningslovens alminnelige regler. Dette vil i noen sammenhenger kunne være ressursbesparende, i andre fordyrende. Datatilsynet vil få plikt til å utarbeide saksframlegg/sammendrag i langt flere saker enn i dag, og i tillegg ansvaret for å oversette alle dokumenter til og fra klager i saker der et annet lands tilsyn vil være den ledende tilsynsmyndigheten. Det er grunn til å tro at forslaget vil medføre økte administrative kostnader for Datatilsynet. Størrelsen på de økonomiske konsekvensene avhenger helt av hvor mange og hvor omfattende slike klager Datatilsynet mottar.
Sakkyndige instansers merknader
Datatilsynet har gjort foreløpige vureringer og påpekt følgende:
- Forslaget legger opp til at det skal skrives sakssammendrag og innhentes kommentarer fra berørte tilsyn i alle grenseoverskridende saker. Dette er en utvidelse sammenliknet med dagens ordning og vil skape ekstra arbeid for alle berørte tilsyn.
- Saker der det er uengihet mellom tilsynene skal behandles i to ulike prosedyrer. Dette kan potensielt forlenge saksbehandlingen og være ressurskrevende for tilsynsmyndighetene.
- Dokumenter skal oversettes fra klagers språk til språket til den ledende tilsynsmyndigheten. Dette er ressurskrevende sammenliknet med dagens ordning, der alle dokumenter oversettes til engelsk. Det er den tilsynsmyndigheten som mottar klagen som skal bære oversetterkostnadene.
- Klagers innsynsrett i saksdokumentene begrenses noe, samtidig som den innklagede i stor grad får mulighet til å påvirke hvilke deler av dokumentasjonen i saken som skal unntas fra partsinnsyn.
- Det skal være utsatt offentlighet til saken er avsluttet. Det er en utfordring at det ikke finnes et klart skjæringspunkt for når en sak anses avsluttet. I noen land regnes den som avsluttet når datatilsynet har fattet sitt vedtak, mens den i andre land ikke regnes som avsluttet før alle klagemuligheter, herunder domstolsprøving, er uttømt.
- Forslaget skal bare gjelde i grensoverskridende saker. I en rekke saker er det imidlertid krevende å avgjøre om saken er grenseoverskridende eller nasjonal, og vurderingen kan også endres underveis i saksbehandlingen. Dette kan få uheldige utslag blant annet mht. hvilke rettigheter partene har.
Vurdering
Dersom forordningsutkastet vedtas, vil det påvirke behandling av saker etter GDPR i alle land som deltar i samarbeidsmekanismen i GDPR. Dette inkluderer EØS-/EFTA-landene. KDD legger derfor til grunn at Norge må gjennomføre forordningen for at vi skal kunne fortsette å ta del i det europeiske samarbeidet om behandling av grenseoverskridende saker etter GDPR.
Forordningsforslaget inneholder bestemmelser om tilgang til og bruk av dokumentasjon i klagesaker som skal behandles i henhold til reglene. Reglene er ikke fullt ut i samsvar med bestemmelsene om partsinnsyn i forvaltningsloven og offentlighetsloven. Dersom forordningen vedtas som foreslått, innlemmes i EØS-avtalen og bestemmelsene gjennomføres i norsk lov, vil de, i medhold av EØS-loven § 2, imidlertid gå foran ev. motstridende regler som ikke er utslag av gjennomføring av EØS-rettslige forpliktelser. Forholdet til forvaltningsretten vil bli vurdert i tett dialog med Justis- og beredskapsdepartementet.
Reguleringen forventes å få økonomiske og administrative kostnader for Datatilsynet, blant annet knyttet til oversettelse av dokumenter.
Innholder informasjon unntatt offentlighet, jf. offl. § 13.
Status
Forslaget er til behandling i EU-institusjonene. Behandling i Rådets arbeidsgruppe for personvern begynte 12. september 2023. Det er foreløpig ikke offentligjort noen tidsplan for det videre arbeidet med rettsakten.
Rettsakten er i utgangspunktet ikke merket EØS-relevant fra EU-kommisjonens side. EU-kommisjonen har imidlertid, etter henvendelse fra EFTA-sekretariatet, opplyst at rettsakten vurderes som EØS-relevant. De vil foreslå å merke rettsakten EØS-relevant i dialogen med Rådet og Parlamentet.
Kommunal- og distriktsdepartementet har publisert forordningsforslaget på regjeringen.no og invitert til å gi innspill til departementets videre arbeid med rettsakten.