1
Bakgrund och mål
Den 4 juli 2023 utfärdade kommissionen sitt förslag till Europaparlamentets och rådets förordning, (COM(2023) 348 final), om fastställande av ytterligare förfaranderegler avseende verkställighet av förordning (EU) 2016/679, nedan den allmänna dataskyddsförordningen. Syftet med förordningsförslaget är att harmonisera de samarbetsförfaranden som tillämpas av dataskyddsmyndigheterna i medlemsstaterna i gränsöverskridande ärenden, det vill säga i situationer som har betydelse för fysiska personer i mer än en medlemsstat. I utkastet till förordning som nu behandlas föreslås inga ändringar av bestämmelserna i den allmänna dataskyddsförordningen, utan avsikten är att komplettera den allmänna dataskyddsförordningen med mer exakta förfaranderegler om samarbetsförfarandena. Förslaget påverkar således inte till exempel de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter, de registrerades rättigheter eller de lagliga grunder för behandling av personuppgifter som anges i den allmänna dataskyddsförordningen.
För att säkerställa en konsekvent tillämpning av den allmänna dataskyddsförordningen samt nivån på skyddet av personuppgifter och den fria rörligheten av personuppgifter är det viktigt att säkerställa att samarbetet mellan medlemsstaternas nationella tillsynsmyndigheter är funktionellt och ändamålsenligt. Syftet med kommissionens förslag är att göra samarbetet mellan tillsynsmyndigheterna smidigare och säkerställa att mekanismen för enhetlighet enligt den allmänna dataskyddsförordningen fungerar i gränsöverskridande ärenden och att den enskilde (klagande) och de parter som är föremål för utredning har tillräckliga och ändamålsenliga processuella rättigheter. Förordningsförslaget främjar regeringsprogrammets mål om att i relationen mellan medborgarna och myndigheterna värna om principerna för god förvaltning och om att säkerställa den demokratiska rättsstatens framtid med en aktuell och fungerande lagstiftning som tryggar stabiliteten i samhället och skyddar individernas grundläggande fri- och rättigheter.
Förslaget grundar sig på en rapport MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET Dataskydd som en pelare för medborgarnas egenmakt och EU:s strategi för den digitala övergången – tillämpning av den allmänna dataskyddsförordningen under två års tid; COM/2020/264 final. som kommissionen publicerade 2020 om den allmänna dataskyddsförordningens funktion och på en förteckning och slutsatser EDPB Letter to the EU Commission on procedural aspects that could be harmonised at EU level; .edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf (europa.eu) som Europeiska dataskyddsstyrelsen (nedan EDPB) lämnade till kommissionen i oktober 2022. Det har observerats att medlemsstaternas tillsynsmyndigheter vid behandling av gränsöverskridande ärenden har olika tolkningar i de olika stegen av samarbetsförfarandet, bland annat om förutsättningarna för att lämna in och avslå klagomål samt om rätten för den enskilde och de parter som är föremål för utredning att delta i och få information om behandlingen. I fråga om detta identifierade kommissionens rapport ett behov av att effektivisera och harmonisera samarbetet mellan tillsynsmyndigheterna, och rapporten uppmanade EDPB och medlemsstaternas tillsynsmyndigheter att utveckla effektiva arrangemang när det gäller mekanismerna för samarbete och enhetlighet. För att undanröja ovannämnda utmaningar antog EDPB i början av 2022 riktlinjer Riktlinjer 2/2022 om tillämpningen av artikel 60 i den allmänna dataskyddsförordningen; .guidelines_202202_on_the_application_of_article_60_gdpr_sv.pdf (europa.eu) som klargör de centrala stegen i samarbetsförfarandet, fördelningen av ansvaret mellan tillsynsmyndigheterna och deras interaktion med EDPB, den enskilde och de parter som är föremål för utredning. Då utmaningarna fortsatte lade EDPB i oktober 2022 fram ett förslag till kommissionen om de administrativa förfarandena i samband med mekanismerna för samarbete och enhetlighet som enligt den behöver harmoniseras genom unionslagstiftningen. Kommissionens förslag beaktar dessutom den feedback som erhållits från intressenter och från den expertgrupp inom kommissionen som behandlar den allmänna dataskyddsförordningen samt de kommentarer som erhölls vid det offentliga samrådet i februari–mars 2023 Call for Evidence, Further specifying procedural rules relating to the enforcement of the General Data Protection Regulation; .https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13745-Further-specifying-procedural-rules-relating-to-the-enforcement-of-the-General-Data-Protection-Regulation_en. Förslaget ingår också i kommissionens arbetsprogram för 2023 Comission work programme 2023; .commission.europa.eu/system/files/2022-10/com_2022_548_3_en.pdf.
I den allmänna dataskyddsförordningen fastställs regler om skydd för fysiska personer, nedan registrerade, vid behandling av personuppgifter och regler om det fria flödet av personuppgifter. Den allmänna dataskyddsförordningen ska i princip tillämpas på all behandling av personuppgifter. Systemet med en enda kontaktpunkt (one stop shop) och samarbetet mellan tillsynsmyndigheterna har hört till de centrala elementen när det gällt de gränsöverskridande ärendena enligt den allmänna dataskyddsförordningen. Enligt den allmänna dataskyddsförordningen är tillsynsmyndigheten för den personuppgiftsansvariges huvudsakliga verksamhetsställe, det vill säga den ansvariga tillsynsmyndigheten, behörig att leda en utredning relaterad till gränsöverskridande behandling. Den ansvariga tillsynsmyndigheten ska samarbeta med andra tillsynsmyndigheter som deltar i behandlingen av ärendet och sträva efter att uppnå samförstånd mellan myndigheterna. Det är dock den tillsynsmyndighet till vilken klagomålet lämnats in som är kontaktpunkt för den registrerade i de olika stegen av den gränsöverskridande behandlingen. Syftet med den allmänna dataskyddsförordningen har varit att säkerställa att registrerade enkelt kan utöva sina dataskyddsrättigheter och vid behov lämna in klagomål till tillsynsmyndigheten på sin bostadsort, trots ärendets gränsöverskridande natur.
Ett centralt element i förfarandet för samarbete mellan tillsynsmyndigheterna är strävan efter samförstånd, men om det inte är möjligt att uppnå samförstånd ska den ansvariga tillsynsmyndigheten hänskjuta ärendet till tvistlösning vid EDPB. Under exceptionella förhållanden kan man dessutom använda sig av det skyndsamma förfarande som regleras i den allmänna dataskyddsförordningen och då agera skyndsamt för att skydda registrerades rättigheter och friheter, särskilt när fara föreligger att säkerställandet av den registrerade personens rättighet kan komma att försvåras avsevärt, och först efter dessa åtgärder ska man begära ett brådskande yttrande eller ett brådskande bindande beslut från EDPB. Eftersom den allmänna dataskyddsförordningen inte heltäckande reglerar detaljerna i samarbetet mellan tillsynsmyndigheterna har de uppgifter och befogenheter som förordningen föreskriver för dessa myndigheter kunnat skötas i enlighet med medlemsstaternas nationella förfaranderegler. Detta har lett till en situation där tillsynsmyndigheterna har tolkat förordningen på olika sätt, vilket har bedömts försämra samarbetsförfarandets effektivitet och äventyra de processuella rättigheterna för den enskilde och de parter som är föremål för utredning.
2
Propositionens huvudsakliga innehåll
2.1
Syfte med förordningsförslaget och definitioner
I kapitel I i den föreslagna förordningen fastställs förordningens innehåll och definitioner. Förordningsförslaget innehåller förfaranderegler som kompletterar den allmänna dataskyddsförordningen och som gäller funktionen för tillsynsmyndigheternas mekanismer för samarbete och enhetlighet i gränsöverskridande ärenden. På förfarandebestämmelserna i det nu aktuella förordningsförslaget ska definitionerna i den allmänna dataskyddsförordningen tillämpas. Utöver detta innehåller förordningsförslaget fyra nya definitioner som uttryckligen gäller gränsöverskridande ärenden.
2.2
Inlämning och hantering av klagomål i gränsöverskridande ärenden
Kapitel II i förordningsförslaget innehåller detaljerade bestämmelser om inlämning och hantering av klagomål. Det föreslås att ett formulär ska införas för inlämnande av klagomål i gränsöverskridande ärenden. Enligt kommissionen kommer formuläret att förenkla klagomålsförfarandet för de registrerade genom att det förenhetligar medlemsstaternas förfaranden. I formuläret ska det anges vilka uppgifter som krävs för klagomålet. Tillsynsmyndigheten ska inte få kräva några ytterligare uppgifter för att klagomålet ska tas upp till prövning. Formuläret ska bifogas förordningen. Förslaget innehåller ingen tidsfrist för inlämnandet av klagomål. Tillsynsmyndigheten ska dock inom en vecka ge den registrerade en bekräftelse om att klagomålet mottagits, och inom en månad ska myndigheten avgöra om de uppgifter som ges i blanketten är fullständiga.
Kapitlet föreskriver om frågor som tillsynsmyndigheten ska beakta vid bedömning av i vilken utsträckning den utredning som klagomålet kräver ska utföras. Förslaget ändrar inte den utgångspunkten att varje behörig tillsynsmyndighet har rätt till skönsmässig bedömning av i vilken utsträckning ett klagomål ska utredas. Tillsynsmyndigheten ska dock i denna bedömning ta hänsyn till alla relevanta omständigheter i ärendet.
Syftet med förordningsförslaget är också att klargöra den rättsliga statusen för uppgörelse i godo (amicable settlement), som nämns i skäl 131 i dataskyddsförordningens ingress, och att för denna skapa en enhetlig lagstiftningsram som tillsynsmyndigheterna kan använda. Enligt förslaget ska det vara möjligt att lösa klagomål även genom en uppgörelse i godo mellan den enskilde och de parter som är föremål för utredning. Förslagen om uppgörelsen i godo är på en relativt allmän nivå – de innehåller åtminstone inte ännu något närmare klargörande av dess rättsliga status.
I slutet av kapitlet finns bestämmelser om översättningar av klagomål, den enskildes synpunkter och vissa handlingar som ska tillhandahållas den enskilde. Den tillsynsmyndighet till vilken klagomålet lämnats in ska ansvara för att dessa översättningar görs. De klagomålshandlingar som ska sändas till den ansvariga tillsynsmyndigheten ska översättas till det språk som används av denna myndighet vid utredning av ärendet. De handlingar som ska tillhandahållas den enskilde ska översättas till det språk som används för kommunikationen med denne. Syftet med förslaget är att säkerställa att varje registrerad även i gränsöverskridande ärenden kan kontakta tillsynsmyndigheten i sitt bosättningsland på sitt eget språk i enlighet med systemet med en enda kontaktpunkt.
2.3
Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna
Enligt förslaget ska kapitel III i förordningen innehålla bestämmelser om samarbetet mellan tillsynsmyndigheterna och om vissa nya förfarandesteg som ska effektivisera samarbetet samt mer exakta bestämmelser om förfarandet vid hörande av den enskilde och de parter som är föremål för utredning.
Avsnitt 1 – Uppnående av samförstånd mellan den ansvariga tillsynsmyndigheten och andra berörda tillsynsmyndigheter
Avsnitt 1 i kapitlet föreskriver om de medel som dataskyddsmyndigheterna kan använda för att nå samförstånd i gränsöverskridande ärenden. Den allmänna dataskyddsförordningen innehåller bestämmelser om den ansvariga tillsynsmyndighetens skyldighet att samarbeta med de andra berörda tillsynsmyndigheterna och att sträva efter att med dessa nå samförstånd samt om skyldigheten att utan dröjsmål meddela de andra berörda tillsynsmyndigheterna den relevanta informationen i ärendet. Detta förordningsförslag betonar att tillsynsmyndigheterna för att nå samförstånd ska använda alla de medel som föreskrivs i den allmänna dataskyddsförordningen, inklusive ömsesidigt bistånd och gemensamma insatser. Dessutom anges mer exakt vilken relevant information som den ansvariga tillsynsmyndigheten ska dela med de andra berörda tillsynsmyndigheterna så snart som möjligt. Den ansvariga tillsynsmyndigheten ska också regelbundet uppdatera de andra berörda tillsynsmyndigheterna om hur utredningen fortskrider. Dessa bestämmelser kommer enligt kommissionen att säkerställa att de berörda tillsynsmyndigheterna har en faktisk möjlighet att lämna synpunkter i ärendet till den ansvariga tillsynsmyndigheten.
En utmaning i samarbetsförfarandet har varit att den ansvariga tillsynsmyndigheten har gett de andra berörda tillsynsmyndigheterna information först i beslutsförslagssteget, varvid dessa har haft små faktiska påverkansmöjligheter, med hänsyn till bland annat rätten för den enskilde och de parter som är föremål för utredning att bli hörda om alla frågor som inverkar på eller kan inverka på hur deras ärende avgörs. Av denna anledning föreslås ett nytt förfarandesteg. Kommissionen föreslår att den ansvariga tillsynsmyndigheten föreskrivs skyldighet att utarbeta en sammanfattning av de viktigaste frågorna (summary of key issues) efter att myndigheten utformat en preliminär ståndpunkt och att skicka den till de andra berörda tillsynsmyndigheterna. Sammanfattningen ska inkludera de viktigaste relevanta sakförhållandena, utredningens omfattning, särskilt vilka bestämmelser i den allmänna dataskyddsförordningen som berörs av den påstådda överträdelse som utreds, samt en preliminär identifiering av potentiella korrigerande åtgärder. Dessutom ska den innehålla en bedömning av de rättsliga eller tekniska frågor som är relevanta för den preliminära bedömningen av ärendet. Det anges ingen specifik tidsfrist för utarbetandet av sammanfattningen. De berörda tillsynsmyndigheterna ges möjlighet att kommentera sammanfattningen inom fyra veckor. Syftet med det nya förfarandesteget är att säkerställa att de berörda dataskyddsmyndigheterna har möjlighet att påverka utredningen i ett tillräckligt tidigt skede, vilket också bedöms underlätta uppnåendet av samförstånd.
Om samförstånd nås kan den ansvariga tillsynsmyndigheten fortsätta utredningen enligt befintlig reglering. Om samförstånd inte nås om innehållet i sammanfattningen ska enligt förslaget den berörda tillsynsmyndighet som är av annan åsikt ha möjlighet att göra en begäran till den ansvariga tillsynsmyndigheten i enlighet med bestämmelserna i den allmänna dataskyddsförordningen om ömsesidigt bistånd eller gemensamma insatser av tillsynsmyndigheter. Förslaget innehåller också föreskrifter om skyldigheten för den ansvariga tillsynsmyndigheten att då begära ett brådskande bindande beslut av EDPB. Ett brådskande bindande beslut ska dock få gälla endast oenighet om utredningens omfattning.
Avsnitt 2 – Helt eller delvis avslag på klagomål
Avsnitt 2 i kapitlet innehåller bestämmelser om helt eller delvis avslag på klagomål som rör gränsöverskridande ärenden. Syftet med avsnittets bestämmelser är att säkerställa att den tillsynsmyndighet till vilken ett klagomål lämnats in har all den information som den behöver för att kunna fatta ett beslut om avslag på klagomålet, och för att den i dessa situationer där ett avslag är aktuellt över huvud taget ska kunna fatta ett beslut. Avsnittet fokuserar särskilt på rätten för den enskilde att bli hörd innan klagomålet avslås.
Enligt förslaget ska den enskilde höras innan klagomålet helt eller delvis avslås. Den tillsynsmyndighet till vilken klagomålet har lämnats in ska underrätta den enskilde om skälen till att man har för avsikt att avslå klagomålet. Dessutom ska tillsynsmyndigheten fastställa en tidsfrist inom vilken den enskilde får framföra sina synpunkter. Tidsfristen ska vara minst tre veckor. Om den enskilde inte framför sina synpunkter inom tidsfristen ska klagomålet anses ha återkallats. Om den enskildes synpunkter inte leder till någon ändring av tillsynsmyndighetens preliminära uppfattning att klagomålet bör avslås, ska myndigheten utarbeta ett utkast till beslut enligt den allmänna dataskyddsförordningen. Utkastet ska skickas till de andra berörda tillsynsmyndigheterna. Att låta bli att svara på ett hörande ska betraktas som ett återkallande av klagomålet skulle avvika från vad som är typiskt i det nationella förvaltningsförfarandet, eftersom myndigheterna i regel ska fatta ett överklagbart beslut i ett ärende som inletts även om rätten till hörande inte använts.
Enligt förslaget ska förordningen också föreskriva om ett ytterligare hörande av den enskilde i en viss situation i samband med ett reviderat utkast till beslut. Detta gäller en situation där ett eventuellt senare reviderat utkast till beslut enligt den allmänna dataskyddsförordningen innehåller inslag som är sådana att den ansvariga tillsynsmyndigheten anser att den enskilde bör ges ett nytt tillfälle att lämna synpunkter på frågan. I slutet av avsnittet preciseras det förfarande som ska iakttas vid antagande av ett beslut om att avslå ett klagomål.
Avsnitt 3 – Beslut riktade till personuppgiftsansvariga och personuppgiftsbiträden
Syftet med avsnitt 3 i kapitlet är att förenhetliga rätten för parter som är föremål för utredning och enskilda att bli hörda i gränsöverskridande ärenden. Enligt förordningsförslaget ska den ansvariga tillsynsmyndigheten utarbeta preliminära slutsatser (preliminary findings) och underrätta de parter som är föremål för utredning om slutsatserna, när den ansvariga tillsynsmyndigheten har för avsikt att till berörda tillsynsmyndigheter överlämna ett utkast till beslut i den mening som avses i dataskyddsförordningen. Skyldigheten att utarbeta preliminära slutsatser ska gälla situationer där en överträdelse av dataskyddsförordningen konstateras i utkastet till beslut. De preliminära slutsatserna ska innehålla de påståenden som framförts mot den part som är föremål för utredning, sakförhållandena och bevis samt en rättslig analys av dessa. Dessutom ska den ansvariga tillsynsmyndigheten i de preliminära slutsatserna ange vilka korrigerande befogenheter den avser att använda i ärendet. Enligt kommissionen kommer de preliminära slutsatserna att göra det möjligt för de parter som är föremål för utredning att förstå arten av det aktuella ärendet och kunna försvara sig på ett korrekt sätt mot de påståenden som framförts. Enligt förslaget ska det för de parter som är föremål för utredning fastställas en tidsfrist inom vilken de kan framföra synpunkter på de preliminära slutsatser som avses ovan.
Även den enskilde ska ges möjlighet att lämna skriftliga synpunkter på en icke-konfidentiell version av de preliminära slutsatserna. Före mottagandet av den icke-konfidentiella versionen av de preliminära slutsatserna ska den enskilde till den ansvariga tillsynsmyndigheten skicka en förklaring där han eller hon åtar sig att inte lämna ut några uppgifter som ingår i de preliminära slutsatserna och att inte använda dessa för andra ändamål än för förfarandet i fråga. Förslaget till förordning specificerar dock inte några påföljder för överträdelse av bestämmelsen om denna förklaring och definierar inte heller närmare begreppet icke-konfidentiell version av de preliminära slutsatserna. I detta avseende är förslagen fortfarande öppna.
Avsnitt 4 – Relevanta och motiverade invändningar
Avsnitt 4 i kapitlet innehåller bestämmelser om formen och strukturen för relevanta och motiverade invändningar. Det föreskrivs till exempel om en maximal längd på invändningar. Enligt kommissionen är målet med detta att alla tillsynsmyndigheter på ett effektivt sätt ska inkluderas och att ärendena ska avgöras snabbt.
2.4
Tillgång till handlingarna i ärendena och behandling av konfidentiella uppgifter
Kapitel IV i förordningsförslaget gäller tillgången till information i handlingarna i ärendet (administrative file) i gränsöverskridande situationer. Bestämmelserna i kapitlet klargör vilka handlingar som ska anses höra till de administrativa handlingar som rör gränsöverskridande ärenden och när de parter som är föremål för utredning ska ges tillgång till dessa handlingar.
Enligt förordningsförslaget ska handlingarna i ett ärende bestå av alla handlingar som den ansvariga tillsynsmyndigheten har mottagit, utarbetat och samlat in under utredningen av en påstådd överträdelse av den allmänna dataskyddsförordningen. Som handlingar i ärendet ska man inte betrakta korrespondens och åsiktsutbyte mellan tillsynsmyndigheterna och inte heller sådana handlingar som den ansvariga tillsynsmyndigheten återlämnar till parterna på grund av att handlingarna saknar samband med föremålet för utredningen. Den ansvariga tillsynsmyndigheten ska ge de parter som är föremål för utredning tillgång till handlingarna i ärendet efter att ha underrättat dem om de preliminära slutsatserna. Handlingarna får användas endast för förfaranden som gäller det specifika ärende för vilket handlingarna tillhandahölls.
I slutet av kapitlet finns bestämmelser om identifiering och skydd av konfidentiella uppgifter. Enligt förslaget får information som en tillsynsmyndighet i gränsöverskridande ärenden erhållit inte göras tillgänglig av tillsynsmyndigheten i den mån informationen innehåller affärshemligheter eller annan konfidentiell information om någon person, om inte annat föreskrivs i förordningen. All information som erhållits av en tillsynsmyndighet i gränsöverskridande ärenden, inbegripet handlingar som innehåller sådan information, ska enligt förslaget inte omfattas av lagarna om officiella handlingars offentlighet så länge förfarandet pågår. I förslaget ingår dessutom bestämmelser om åtgärder för att skydda konfidentiella uppgifter och om de olika parternas ansvar för detta skydd.
2.5
Precisering av tvistlösningsförfarandet och det skyndsamma förfarandet
I kapitlen V och VI i förordningsförslaget preciseras tvistlösningsförfarandet och det skyndsamma förfarandet enligt den allmänna dataskyddsförordningen. Bestämmelserna om dessa förfaranden preciseras och vissa tidsfrister fastställs. Kommissionens mål är att effektivisera och förbättra förfarandenas funktion och att säkerställa ändamålsenliga och tillräckliga processuella rättigheter för den enskilde och de parter som är föremål för utredning.
Tvistlösningsförfarandet preciseras med en bestämmelse om att den ansvariga tillsynsmyndigheten ska hänskjuta ärendet till EDPB:s tvistlösningsmekanism, om den inte följer de andra tillsynsmyndigheternas relevanta och motiverade invändningar eller avvisar invändningarna. För att säkerställa tillräcklig tillgång till information föreslår kommissionen dessutom att den ansvariga tillsynsmyndigheten ska vara skyldig att förse EDPB med vissa specifika handlingar, som anges i förslaget, såsom utkastet till beslut, en sammanfattning av de relevanta sakförhållandena, synpunkterna från den enskilde och de parter som är föremål för utredning samt de relevanta och motiverade invändningar som den ansvariga tillsynsmyndigheten inte har följt eller avvisat.
Innan det bindande beslutet antas ska EDPB förse de parter som är föremål för utredning och/eller den enskilde med en motivering som förklarar det resonemang som EDPB avser att lägga till grund för sitt beslut. Det föreslås också att kapitlet ska innehålla bestämmelser om vilka handlingar tillsynsmyndigheterna ska förse EDPB med när denna ska anta ett bindande beslut.
När det gäller det skyndsamma förfarandet föreslås det i förordningsförslaget att en begäran om ett brådskande yttrande eller ett brådskande bindande beslut från EDPB ska göras senast tre veckor innan de provisoriska åtgärder som avses i den allmänna dataskyddsförordningen upphör att gälla. Beslutet ska innehålla alla uppgifter som är relevanta för ärendet, såsom en sammanfattning av relevanta sakförhållanden, en beskrivning av de provisoriska åtgärder som antagits och en motivering till det brådskande behovet av att anta slutliga åtgärder, inbegripet en förklaring av den exceptionella karaktären hos de omständigheter som kräver att de berörda åtgärderna antas.
2.6
Slutbestämmelser
Kapitel VII i förordningsförslaget innehåller slutbestämmelser om tidsfrister, övergångsbestämmelser och förordningens ikraftträdande. För att garantera rättssäkerheten föreslår kommissionen att bestämmelserna om samarbetet mellan tillsynsmyndigheterna och om tillgången till handlingar (kapitlen III och IV) inte ska tillämpas på utredningar som pågår när förordningen träder i kraft. Bestämmelserna om tvistlösning (kapitel V) ska inte heller tillämpas på ärenden som hänsköts till tvistlösning innan förordningen trädde i kraft. Förordningen ska träda i kraft den tjugonde dagen efter att den offentliggjorts.
3
Rättslig grund för förslaget och förhållande till proportionalitets- och subsidiaritetsprinciperna
Som rättslig grund för förordningen föreslår kommissionen artikel 16 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Med stöd av artikel 16 i EUF-fördraget kan sådana bestämmelser fastställas som gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt bestämmelser om den fria rörligheten för sådana uppgifter. Syftet med förslaget är att säkerställa ett ändamålsenligt genomförande av den allmänna dataskyddsförordningen i gränsöverskridande ärenden liksom de registrerades rätt till skydd av sina personuppgifter och de rättigheter som säkras i Europeiska unionens stadga om de grundläggande rättigheterna (se artiklarna 41 och 47 i stadgan).
Enligt statsrådets uppfattning är den föreslagna rättsliga grunden lämplig.
Kommissionen anser att unionen är den aktör som är bäst lämpad att agera i frågan, eftersom förordningsförslaget rör ett samarbete som föreskrivs i den allmänna dataskyddsförordningen och som involverar tillsynsmyndigheterna i flera medlemsstater och EDPB. Kommissionen anser att medlemsstaterna inte på egen hand kan lösa problemen med de olika förfarandena hos medlemsstaternas tillsynsmyndigheter och de olika tolkningarna av innehållet i mekanismerna för samarbete och enhetlighet i den allmänna dataskyddsförordningen.
Rätten till skydd av personuppgifter fastställs i artikel 8 i Europeiska stadgan om de grundläggande rättigheterna och i artikel 16.1 i EUF-fördraget, och den kräver att dataskyddet är på samma nivå i hela unionen. Det bästa sättet att harmonisera dataskyddet inom EU är att utfärda bestämmelser om det på EU-nivå.
Kommissionen anser att förslaget inte går utöver vad som är nödvändigt för att säkerställa att de mekanismer för samarbete och enhetlighet som avses i den allmänna dataskyddsförordningen fungerar smidigt och effektivt och att det inte på ett oproportionerligt sätt inkräktar på den nationella processautonomin. Kommissionen anser också att denna förordning (i enlighet med artikel 5.4 i fördraget om Europeiska unionen) inte går utöver vad som är nödvändigt för att uppnå de avsedda målen, eftersom måluppfyllelsen kräver harmonisering av de förfaranden som gäller rätten att bli hörd för de parter som är föremål för utredning och den enskildes rätt att delta i behandlingen i viktiga skeden av förfarandet och endast i gränsöverskridande ärenden.
Enligt statsrådets preliminära uppfattning är förslaget förenligt med subsidiaritets- och proportionalitetsprinciperna, men i förhandlingarna bör man ännu bedöma om den föreslagna detaljregleringen till alla delar är nödvändig för att uppnå en tillräcklig harmonisering.
Bestämmelserna behandlas i enlighet med det ordinarie lagstiftningsförfarandet tillsammans med Europaparlamentet. Rådet fattar beslut om förslaget med kvalificerad majoritet.
4
Förslagets konsekvenser
4.1
Konsekvenser för den nationella lagstiftningen
Den föreslagna förordningen är direkt tillämplig EU-rätt och kräver inte nationella genomförandeåtgärder för att träda i kraft. Förslaget kräver i princip inte heller någon annan översyn eller några kompletterande lagstiftningsåtgärder i den nationella lagstiftningen. Eftersom förslaget innehåller bestämmelser även om det förfarande som tillämpas av dataombudsmannen, som fungerar som nationell tillsynsmyndighet, och om handlingsoffentlighet i de situationer som avses i förordningen, bör man dock i den fortsatta beredningen bedöma förslagets konsekvenser i synnerhet i förhållande till rättigheterna och skyldigheterna enligt förvaltningslagen (434/2003) och lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen.
4.2
Ekonomiska konsekvenser och konsekvenser för myndigheter
Enligt kommissionens bedömning kommer förslaget inte att leda till några betydande ekonomiska konsekvenser. Förordningen kommer enligt kommissionen att ha positiva konsekvenser för dataskyddsmyndigheterna, eftersom dessa kommer att få möjlighet att använda sina resurser mer effektivt och eftersom myndigheterna erbjuds verktyg för att förbättra samarbetet mellan tillsynsmyndigheterna. Det har inte gjorts någon heltäckande konsekvensbedömning för förordningsförslaget, och enligt en preliminär nationell bedömning kan de nya steg i förfarandet som föreslås ge dataombudsmannen merarbete och påverka resurserna. Dessa konsekvenser kan orsakas av bland annat de föreslagna nya stegen i förfarandet och av de föreslagna tidsfristerna. Det görs en närmare bedömning av eventuella konsekvenser för resurserna allteftersom förhandlingarna framskrider. När det gäller de delar av förordningsförslaget som omfattas av landskapet Ålands lagstiftningsbehörighet är landskapets myndigheters bedömning av förslagets konsekvenser inte ännu avslutad.
4.3
Övriga konsekvenser
Enligt kommissionens bedömning kommer de föreslagna bestämmelserna inte att ha några betydande sociala eller miljömässiga konsekvenser. Förslaget kommer att ha positiva konsekvenser i synnerhet för den enskilde och de parter som är föremål för utredning, eftersom ett smidigare samarbete mellan dataskyddsmyndigheterna vid genomförande av dataskyddsförordningen främjar en snabbare lösning av ärendena och säkerställer att den enskilde och de parter som är föremål för utredning har ett tillräckligt rättsskydd. Dessutom säkerställs genom förslaget att den enskilde har samma möjligheter att delta i förfarandet i gränsöverskridande ärenden oavsett var klagomålet lämnats in eller vilken dataskyddsmyndighet som är ansvarig dataskyddsmyndighet. Den föreslagna förordningen kommer att ha en positiv inverkan på den enskildes språkliga rättigheter, eftersom den säkerställer den enskildes rätt att få informationen om det gränsöverskridande ärendet på sitt eget språk. Kommissionen bedömer att förslaget även kommer att förbättra allmänhetens förtroende för den allmänna dataskyddsförordningens funktion. Med tanke på den allmänna dataskyddsförordningens funktion är det viktigt att samarbetet mellan medlemsstaternas dataskyddsmyndigheter och EDPB är funktionellt och effektivt. Ett effektivt myndighetssamarbete har betydelse även i fråga om annat än dataskyddet, bland annat när det gäller att säkerställa en funktionell reglering av EU:s digitala ekonomi och dataekonomi (såsom EU:s kommande dataförvaltningsakt).
Syftet med förordningsförslaget är att säkerställa rättsskyddet för den enskilde och de parter som är föremål för utredning samt garantierna för god förvaltning. Genom förslaget främjas till denna del även regeringsprogrammets mål om att främja en fungerande och öppen förvaltning där man satsar på kontinuitet och konsekventa verksamhetssätt och om att säkerställa den demokratiska rättsstatens framtid. Enligt regeringsprogrammet värnas i relationen mellan medborgarna och myndigheterna principerna för god förvaltning. En aktuell och fungerande lagstiftning tryggar stabiliteten i samhället och skyddar individernas grundläggande fri- och rättigheter. Förslaget kan också anses stödja regeringsprogrammets mål för dataskyddet, eftersom ett av målen i förslaget är att effektivisera samarbetet mellan dataskyddstillsynsmyndigheterna och EDPB, inklusive utbytet av information mellan dem. Enligt regeringsprogrammet ska regeringen genomföra en totalreform av den nationella dataskyddslagstiftningen. Ett av målen med totalreformen är att förbättra informationsutbytet mellan myndigheter.
5
Förslagets förhållande till grundlagen och till de grundläggande fri- och rättigheterna och de mänskliga rättigheterna
5.1
Skydd av personuppgifter
Kommissionens förslag är relevanta med tanke på skyddet för personuppgifter enligt 10 § 1 mom. i grundlagen. Enligt detta moment utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Skyddet av personuppgifter behandlas också i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna, som värnar vars och ens rätt till skydd av personuppgifter. Artikeln kräver att personuppgifter behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Även artikel 8 i Europakonventionen om mänskliga rättigheter innehåller bestämmelser om rätten för var och en till respekt för sitt privatliv. Skyddet av personuppgifter tryggas framför allt genom den allmänna dataskyddsförordningen och genom den nationella dataskyddslagen (1050/2018), som preciserar och kompletterar förordningen.
Förslaget till förordning preciserar bestämmelserna i kapitel VII i den allmänna dataskyddsförordningen om de centrala stegen i de samarbets- och tvistlösningsförfaranden som medlemsstaternas tillsynsmyndigheter ska följa. Enligt kommissionen är förslaget förenligt med de grundläggande principer som anges i kapitel VII i den allmänna dataskyddsförordningen för gränsöverskridande klagomål, samarbete och tvistlösning och innehåller preciseringar som är nödvändiga för ett effektivt genomförande av bestämmelserna i kapitel VII i den allmänna dataskyddsförordningen, utan att inkräkta för mycket på medlemsstaternas nationella förfaranden. Förslaget påverkar till exempel inte de registrerades rättigheter, de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter eller de lagliga grunder för behandling av personuppgifter som anges i den allmänna dataskyddsförordningen. Förslaget kommer inte heller att ändra de uppgifter och befogenheter som den allmänna dataskyddsförordningen föreskriver för medlemsstaternas tillsynsmyndigheter, de ansvariga tillsynsmyndigheterna och EDPB. Enligt kommissionens bedömning kommer den föreslagna förordningen genom de smidigare förfarandena möjliggöra en snabb lösning av gränsöverskridande ärenden, och den kommer också att stödja de registrerades rätt till skydd av sina personuppgifter. De smidigare samarbetsförfarandena kommer att ha positiva konsekvenser för skyddet av personuppgifter som en grundläggande fri- och rättighet. I den fortsatta beredningen bör man dock säkerställa att de föreslagna förfarandereglerna inte medför en orimlig administrativ börda för tillsynsmyndigheterna, vilket skulle kunna hindra att dessa mål uppnås.
5.2
Rättsskydd, offentlighet och god förvaltning
Kommissionens förslag är relevanta även med tanke på det rättsskydd som föreskrivs i 21 § i grundlagen. Denna paragraf innehåller den grundläggande bestämmelsen om vars och ens rätt att få sin sak behandlad och avgjord av en domstol eller någon annan myndighet. Paragrafens 2 mom. gäller andra dimensioner av rättvis rättegång och god förvaltning. Den har samband med 1 mom., som likaså tryggar rätten till en rättvis rättegång och god förvaltning. Paragrafen förutsätter att en rättvis rättegång och god förvaltning genomförs som en helhet. Innehållet i begreppet god förvaltning har sitt ursprung i den helhet som utgörs av 21 §. Med detta avses enligt de i 1 mom. i paragrafen nämnda kraven på behörig myndighetsverksamhet utan dröjsmål också den i 2 mom. framställda förteckningen över delfrågorna i god förvaltning, såsom offentlighet vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring. Den ovannämnda förteckningen är inte avsedd att vara uttömmande.
Kommissionens förslag är relevanta även med tanke på artiklarna 41, 47 och 48 i Europeiska stadgan om de grundläggande rättigheterna. Artikel 41 i stadgan tryggar allas rätt till god förvaltning och artikel 47 rätten till ett effektivt rättsmedel och en opartisk domstol. I artikel 48 fastställs presumtionen för oskuld och allas rätt till försvar. Enligt kommissionens bedömning stöder den föreslagna förordningen allas rätt till ett effektivt rättsmedel enligt artikel 47 i stadgan genom att den underlättar en snabb lösning av gränsöverskridande ärenden. På motsvarande sätt anser kommissionen att förslaget säkerställer att rätten till god förvaltning enligt artikel 41 i stadgan och rätten till försvar enligt artikel 48 i stadgan iakttas genom att förslaget harmoniserar rätten för de parter som är föremål för utredning att bli hörda och få tillgång till handlingarna i ärendet.
Förslaget reglerar genomförandet av myndighetens förvaltningsförfarande och är därför viktigt för att garantierna för en god förvaltning ska förverkligas. En god förvaltning tryggas i huvudsak genom förvaltningslagen (434/2003), som tillämpas som allmän lag. Nationellt ingår det i god förvaltning att inte försvåra uträttandet av ärenden hos en myndighet genom överflödiga formkrav. För att inleda ett förvaltningsärende krävs i regel ingen föreskriven form, såsom användning av en viss blankett. Dessutom hör det till förvaltningens serviceprincip att brister i formen för inledning av ett ärende smidigt kan korrigeras senare under förfarandet. Myndigheten ska också ge råd som är nödvändiga för skötseln av ärendet. En myndighet ska dessutom se till att ett ärende utreds tillräckligt och på behörigt sätt genom att skaffa den information och den utredning som behövs för att ärendet ska kunna avgöras. Bestämmelserna i förordningsförslaget verkar delvis medföra att tröskeln för materiell anhängighet i klagomålsärenden blir högre än den är i förvaltningslagen. Tillsynsmyndigheten får skyldighet att redan innan ärendet börjar behandlas ta reda på om den information som ges är fullständig. Dessutom ska den enskilde utöver de uppgifter som anges i den bifogade blanketten till klagomålet bifoga en kopia av en identitetshandling och underteckna klagomålet. Det kan bli en utmaning för en enskild fysisk person att identifiera den gränsöverskridande naturen hos behandlingen av sina personuppgifter och att veta vilken typ av information den registrerade måste lämna in vid varje given tidpunkt vid inlämnande av ett klagomål till tillsynsmyndigheten. Det är möjligt att förslaget i detta avseende i praktiken leder till att det blir nödvändigt att införa klagomålsblanketten i den nu föreslagna formen även i alla andra klagomålsärenden som rör den allmänna dataskyddsförordningen. I den fortsatta beredningen bör man sträva efter att införandet av klagomålsformuläret för gränsöverskridande ärenden inte orimligt försvårar uträttandet av ärenden hos myndigheten, inte medför mera krav på klagomålens form än nödvändigt och ger tillsynsmyndigheterna ett tillräckligt utrymme för skönsmässig bedömning så att de vid utredning av klagomål kan sörja för en tillräcklig och behörig utredning av ärendet.
I fråga om de processuella rättigheterna är harmoniseringen av hörandeförfarandet i alla gränsöverskridande ärenden det centrala innehållet, och detta kan generellt anses värt att understöda med tanke på god förvaltning och rättsskyddet för enskilda. De föreslagna bestämmelserna har en central betydelse i fråga om rätten att bli hörd. Det är viktigt att parterna i ärendet hörs i de centrala stegen av förfarandet, oavsett vilken medlemsstats tillsynsmyndighet som leder utredningen. Genom att reglera hörandeskyldigheterna i en förordning kan genomförandet av den aktuella processuella rätten stödas, oavsett vilket medlemslands tillsynsmyndighet som leder utredningen. Jämfört med det nationella förvaltningsförfarandet innehåller förordningsförslaget mer exakta bestämmelser om bland annat i vilka frågor och i vilket skede det är nödvändigt att höra parterna. Dessutom ingår i förslaget, till skillnad från den nationella lagstiftningen, inga undantag i samband med hörandeskyldigheten i situationer där ärendet skulle kunna lösas utan hörande. I den fortsatta beredningen bör man se till att den föreslagna regleringen inte skapar en hörandeskyldighet som är administrativt alltför betungande för myndigheternas verksamhet och som är exceptionellt omfattande med avseende på det nationella förvaltningsförfarandet. I samband med den fortsatta beredningen finns det skäl att bedöma om förordningen även bör ge tillsynsmyndigheterna utrymme för skönsmässig bedömning av när och hur parterna behöver höras i de olika faserna av ärendet för att myndigheterna på ett tillräckligt och tillbörligt sätt ska kunna utreda ärendet och säkerställa parternas processuella rättigheter.
Förslaget innehåller också bestämmelser som verkar ha konsekvenser för offentligheten för tillsynsmyndighetens handlingar (kapitel IV). Enligt 12 § 2 mom. i grundlagen, som föreskriver om offentlighetsprincipen, är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. Den centrala lag som tryggar efterlevnaden av offentlighetsprincipen är offentlighetslagen (621/1999). Det förslag till förordning som nu är under behandling innehåller bestämmelser som åtminstone delvis verkar föreskriva en offentlighet för tillsynsmyndighetens handlingar som inte är lika omfattande som i offentlighetslagen. Särskilt de bestämmelser som relativt detaljerat definierar partsoffentligheten avviker från vad som föreskrivs i offentlighetslagen. Bestämmelserna om partsoffentligheten har också samband med ett behörigt genomförande av rättsskyddet enligt 21 § i grundlagen. Begreppen konfidentiella och icke-konfidentiella handlingar som används i förordningsförslaget är vaga i fråga om innehåll och definition, och deras förhållande till de grunder för sekretess för handlingar som fastställts i medlemsstaternas lagstiftning om handlingars offentlighet är oklar. Även den logiska strukturen för bestämmelserna om handlingsoffentligheten och sättet att reglera offentligheten skiljer sig från vad som föreskrivs i offentlighetslagen i så hög grad att det är svårt att i detta skede bedöma förslagets konsekvenser för den allmänna handlingsoffentligheten och partsoffentligheten.
9
Statsrådets ståndpunkt
Statsrådet anser att en stark dataskyddsreglering spelar en viktig roll när det gäller skyddet av personuppgifter och en effektiv inre marknad. Samarbetet mellan medlemsstaternas tillsynsmyndigheter är viktigt för att tolkningarna av den allmänna dataskyddsförordningen och skyddet av personuppgifter ska vara enhetliga inom EU.
Statsrådet anser att målen med kommissionens förordningsförslag att förbättra samarbetet mellan tillsynsmyndigheterna i gränsöverskridande ärenden och att säkerställa att den enskilde och de parter som är föremål för utredning har ändamålsenliga processuella rättigheter i huvudsak är värda att understöda. Statsrådet anser det vara ändamålsenligt att de förfaranderegler som kompletterar den allmänna dataskyddsförordningen och som gäller funktionen för tillsynsmyndigheternas mekanismer för samarbete och enhetlighet ska gälla endast gränsöverskridande ärenden. Med tanke på de processuella rättigheterna för den enskilda och de som är föremål för utredning är det viktigt att den föreslagna förordningen tillämpas på både ärenden som grundar sig på klagomål och ärenden som inleds på tjänstens vägnar.
Under den fortsatta beredningen finns det dock skäl att bedöma om den föreslagna detaljerade förfaranderegleringen till alla delar är nödvändig för att dessa mål ska uppnås. Uppmärksamhet bör också fästas vid regleringens tydlighet och exakthet, och till exempel den rättsliga statusen för den föreslagna uppgörelsen i godo bör klargöras.
När det gäller de nya definitionerna bör det säkerställas att de är tillräckligt tydliga och konsekventa, även med hänsyn till deras förhållande till de definitioner som används nationellt i förvaltningsärenden. Under den fortsatta beredningen bör en noggrann bedömning göras av de föreslagna tidsfristernas eventuella konsekvenser för verksamheten vid dataombudsmannens byrå och av deras eventuella mer omfattande återverkningar på nationella förfaranden.
I den fortsatta beredningen bör målet vara att kraven för att ett ärende ska inledas, såsom införandet av formuläret för klagomål, inte orimligt försvårar uträttandet av ärenden hos myndigheten och att förordningen ger tillsynsmyndigheterna ett tillräckligt utrymme för skönsmässig bedömning så att de vid utredning av klagomål kan sörja för en tillräcklig och behörig utredning av ärendet.
I den fortsatta beredningen bör man se till att den föreslagna regleringen inte skapar en hörandeskyldighet som är administrativt alltför betungande för myndigheternas verksamhet eller som är exceptionellt omfattande med tanke på det nationella förvaltningsförfarandet. I samband med den fortsatta beredningen finns det skäl att bedöma om förordningen, särskilt när det gäller enkla ärenden, bör ge tillsynsmyndigheterna utrymme för skönsmässig bedömning av när och hur parterna behöver höras i de olika faserna av ärendet för att myndigheterna på ett tillräckligt och tillbörligt sätt ska kunna utreda ärendet och säkerställa parternas processuella rättigheter.
Vidare finns det skäl att bedöma de föreslagna bestämmelserna om skydd av konfidentiell information i sin helhet i förhållande till den nationella lagstiftningen om offentlighet och sträva efter att säkerställa att förslaget inte inskränker de grundläggande rättigheterna i fråga om handlingars offentlighet, särskilt partsoffentligheten.
Statsrådet understöder att dataskyddsmyndigheternas gränsöverskridande förfaranden görs smidigare. Samtidigt är det viktigt att de arbetsfaser som följer av förslaget inte orsakar onödigt merarbete för medlemsstaternas tillsynsmyndigheter och EDPB. Vidare är det viktigt att säkerställa att de mer exakta förfarandereglerna faktiskt främjar de gränsöverskridande förfarandena. I den fortsatta beredningen bör det bedömas mer ingående vilka ekonomiska konsekvenser och vilket merarbete förslaget med dess nya förfarandesteg medför för dataombudsmannens byrå. Beslut om eventuell nationell tilläggsfinansiering fattas i beslutsprocesserna i samband med planer för de offentliga finanserna och statsbudgeten.