De Europese Commissie heeft wijzigingen aan de GDPR voorgesteld om de samenwerking tussen gegevensbeschermingsautoriteiten, die zich bezighouden met grensoverschrijdende zaken, te versterken.
Over welke wijzigingen gaat het precies en wat wil de Commissie hiermee bereiken?
De nieuwe versie van de GDPR zal concrete procedureregels vaststellen voor de autoriteiten in zaken die betrekking hebben op personen die zich in meer dan één lidstaat bevinden.
Zo wordt de leidende gegevensbeschermingsautoriteit verplicht een ‘samenvatting van de belangrijkste kwesties’ naar hun betrokken tegenhangers te sturen, waarin de belangrijkste elementen van het onderzoek en haar standpunten over de zaak worden vermeld.
Op die manier kunnen zij hun mening vroegtijdig geven. Het voorstel zal bijdragen aan het verminderen van meningsverschillen en het bekomen van consensus vergemakkelijken tussen autoriteiten vanaf de beginfasen van het proces.
Nieuwe regels voor individuen en bedrijven in het kader van de GDPR
Ook voor individuen zullen er enkele wijzigingen zijn. Zo zullen de nieuwe regels verduidelijken welke documenten er moeten bezorgd worden als individuen een klacht willen indienen en ervoor zorgen dat ze op de juiste manier bij het proces worden betrokken. Voor bedrijven zullen de nieuwe regels hun rechten op een eerlijk proces verduidelijken wanneer een gegevensbeschermingsautoriteit een mogelijke inbreuk op de GDPR onderzoekt.
Nieuwe regels ter bevordering van snellere rechtsmiddelen en rechtszekerheid in het kader van de GDPR
De nieuwe regels streven er dus duidelijk naar om het oplossen van klachten sneller te laten verlopen, wat betekent dat er snellere rechtsmiddelen zullen zijn voor individuen en meer rechtszekerheid voor bedrijven. Voor gegevensbeschermingsautoriteiten zullen de nieuwe regels de samenwerking vergemakkelijken en, hopelijk, de efficiëntie van de handhaving verbeteren.
Het streven naar harmonisatie van procedureregels in grensoverschrijdende zaken
De nieuwe verordening bevat gedetailleerde regels ter ondersteuning van de soepele werking van het samenwerkings- en consistentiemechanisme dat is ingesteld door de GDPR. De regels worden op de volgende gebieden geharmoniseerd:
Rechten van diegenen die een klacht indient
Het voorstel harmoniseert de vereisten waaraan een grensoverschrijdende klacht moet voldoen om ontvankelijk te zijn, en verwijdert de huidige belemmeringen die worden opgeworpen door gegevensbeschermingsautoriteiten die verschillende regels volgen. Het stelt gemeenschappelijke rechten vast voor diegene die een klacht indient om te worden gehoord in gevallen waarin hun klachten geheel of gedeeltelijk worden afgewezen. In gevallen waarin een klacht wordt onderzocht, bevat het voorstel regels voor hun betrokkenheid.
Rechten van de onderzochte partijen
(de verwerkingsverantwoordelijken en de verwerkers)
Het voorstel zal de onderzochte partijen het recht verlenen om te worden gehoord in essentiële stadia van de procedure, zoals tijdens geschillenbeslechting door het Europees Comité voor gegevensbescherming (EDPB). Daarnaast wordt de inhoud van het administratief dossier en de toegangsrechten van de partijen tot het dossier verduidelijkt.
Samenwerking en geschillenbeslechting stroomlijnen
Volgens het voorstel zullen gegevensbeschermingsautoriteiten in een vroeg stadium van het onderzoeken hun mening kunnen geven en gebruik kunnen maken van alle samenwerkingsinstrumenten waarin de GDPR voorziet, zoals gezamenlijke onderzoeken en wederzijdse bijstand. Deze bepalingen zullen de invloed van gegevensbeschermingsautoriteiten in grensoverschrijdende zaken vergroten, het vroegtijdig tot stand brengen van consensus in het onderzoek vergemakkelijken en latere meningsverschillen verminderen.
De harmonisatie van deze procedurele aspecten zal de tijdige afronding van onderzoeken en het bieden van snelle rechtsmiddelen voor individuen ondersteunen.
Waarom zijn deze wijzigingen goed?
De GDPR past een “one stop shop”-principe toe, waarbij de leidende gegevensbeschermingsautoriteit wordt geselecteerd op basis van het EU-land waarin de onderzochte entiteit is gevestigd.
Aangezien de meeste Amerikaanse technologiereuzen hun hoofdkantoor in Ierland hebben, hebben enkele van de meest spraakmakende grensoverschrijdende zaken geleid tot spanningen tussen de Ierse gegevensbeschermingscommissie (DPC) en andere nationale gegevensbeschermingsautoriteiten.
Nieuwe voorstellen voor GDPR-regels
De nieuwe voorstellen van de Europese Commissie zijn bedoeld om procedureregels te harmoniseren, om de samenwerking tussen gegevensbeschermingsautoriteiten te bevorderen, de consistentie van de besluitvorming te verbeteren en een krachtige handhaving te ondersteunen. Ook moet het de spanningen tussen de verschillende autoriteiten verminderen
Waarom heeft de Commissie deze wijzigingen doorgevoerd?
Sinds de inwerkingtreding van de GDPR zijn er meer dan 2.000 ‘one-stop-shop’-zaken aangemaakt in het zakenregister van de EDPB en zijn er 711 definitieve besluiten genomen. In sommige gevallen zijn boetes opgelegd van honderden miljoenen euro’s. Het volgende rapport over de toepassing van de GDPR wordt verwacht in 2024.
In oktober 2022 heeft de EDPB de Commissie een “verlanglijstje” gestuurd met suggesties om een aantal procedurele aspecten te stroomlijnen en te verbeteren om de samenwerking te versterken en te helpen om sneller rechtsmiddelen te bieden aan betrokkenen.
Feedback
Het voorstel van vandaag is gericht op de inbreng van een breed scala aan belanghebbenden, waaronder de EDPB, vertegenwoordigers van het maatschappelijk middenveld, het bedrijfsleven, de academische wereld en beoefenaars van juridische beroepen, evenals de lidstaten. Van februari tot maart 2023 heeft de Commissie een oproep tot het indienen van bewijzen gepubliceerd, waarbij ze feedback ontving van een breed scala aan belanghebbenden, waaronder het maatschappelijk middenveld en brancheorganisaties en representatieve brancheorganisaties.
Het is op basis van al deze feedback dat de huidige wijzigingen tot stand zijn gekomen.
