De Europese Commissie stelt nieuwe wetgeving voor om de samenwerking tussen gegevensbeschermingsautoriteiten te stroomlijnen bij de handhaving van de algemene verordening gegevensbescherming (AVG) in grensoverschrijdende zaken. De nieuwe verordening zal voorzien in concrete procedureregels voor de autoriteiten bij de toepassing van de AVG in zaken die gevolgen hebben voor personen in meer dan één lidstaat. Zo zal de leidende gegevensbeschermingsautoriteit worden verplicht een “samenvatting van de belangrijkste punten” aan haar betrokken collega’s te sturen, waarin de belangrijkste elementen van het onderzoek en haar standpunten over de zaak worden vermeld, zodat de autoriteit haar standpunten in een vroeg stadium kenbaar kan maken. Het voorstel zal voor minder meningsverschillen zorgen en de consensusvorming tussen autoriteiten vanaf de beginstadia van het proces vergemakkelijken.
Voor particulieren zullen de nieuwe regels verduidelijken wat zij moeten overleggen wanneer zij een klacht indienen en ervoor zorgen dat zij op passende wijze worden betrokken bij het proces. Voor bedrijven zullen de nieuwe regels hun recht op een eerlijke rechtsgang verduidelijken wanneer een gegevensbeschermingsautoriteit een mogelijke inbreuk op de AVG onderzoekt. Bijgevolg zullen de regels tot een snellere afhandeling van zaken leiden, wat snellere rechtsmiddelen voor particulieren en meer rechtszekerheid voor bedrijven betekent. Voor gegevensbeschermingsautoriteiten zullen de nieuwe regels voor een vlottere samenwerking en een doeltreffendere handhaving zorgen.
Procedureregels harmoniseren
De nieuwe verordening bevat gedetailleerde regels ter ondersteuning van de vlotte werking van het bij de AVG ingestelde samenwerking- en coherentiemechanisme, waarbij de regels op de volgende gebieden worden geharmoniseerd:
*Rechten van klagers: Het voorstel harmoniseert de vereisten voor de ontvankelijkheid van een grensoverschrijdende klacht en neemt de huidige belemmeringen weg die zijn ontstaan doordat gegevensbeschermingsautoriteiten verschillende regels volgen. Het voorziet in gemeenschappelijke rechten voor klagers om te worden gehoord in zaken waarin hun klachten geheel of gedeeltelijk worden verworpen. Voor zaken waarin een klacht wordt onderzocht, specificeert het voorstel regels om ervoor te zorgen dat klagers naar behoren worden betrokken.
*Rechten van onderzochte partijen (verwerkingsverantwoordelijken en verwerkers): Het voorstel geeft de onderzochte partijen het recht om te worden gehoord in belangrijke stadia van de procedure, onder meer tijdens de geschillenbeslechting door het Europees Comité voor gegevensbescherming (EDPB), en verduidelijkt de inhoud van het administratieve dossier en de rechten van de partijen op toegang tot het dossier.
*Samenwerking en geschillenbeslechting stroomlijnen: Op grond van het voorstel zullen gegevensbeschermingsautoriteiten hun standpunten in een vroeg stadium van het onderzoek kenbaar kunnen maken en gebruik kunnen maken van alle samenwerkingsinstrumenten waarin de AVG voorziet, zoals gezamenlijke onderzoeken en wederzijdse bijstand. Door deze bepalingen zullen gegevensbeschermingsautoriteiten meer invloed uitoefenen op grensoverschrijdende zaken, zal consensusvorming in een vroeg stadium van het onderzoek gemakkelijker worden en zullen er minder meningsverschillen ontstaan in een later stadium. Het voorstel bevat gedetailleerde regels om de snelle voltooiing van het geschillenbeslechtingsmechanisme van de AVG te vergemakkelijken en voorziet in gemeenschappelijke termijnen voor grensoverschrijdende samenwerking en geschillenbeslechting. De harmonisatie van deze procedurele aspecten zal bijdragen tot de tijdige afronding van onderzoeken en tot snelle rechtsmiddelen voor particulieren.
Achtergrond
Zoals is gebleken, werkt de AVG goed. De verordening van de Commissie heeft geen gevolgen voor wezenlijke elementen van de AVG, zoals de rechten van betrokkenen, de verplichtingen van verwerkingsverantwoordelijken en verwerkers of de rechtmatige gronden voor de verwerking van persoonsgegevens zoals vastgesteld in de AVG. Sinds de inwerkingtreding van de AVG zijn er meer dan 2 000 “één loketzaken” aangemaakt in het zaakregister van het EDPB en zijn er 711 definitieve besluiten genomen. In sommige zaken zijn boetes van honderden miljoenen euro’s opgelegd. Het volgende verslag over de toepassing van de AVG wordt verwacht in 2024.
De AVG wordt gehandhaafd door onafhankelijke nationale gegevensbeschermingsautoriteiten en nationale rechtbanken. In zaken waarin sprake is van verwerking in meer dan één lidstaat of met aanzienlijke gevolgen voor betrokkenen in meer dan één lidstaat, is het één loketsysteem voor handhaving van de AVG van toepassing. Dit betekent dat de gegevensbeschermingsautoriteit van het land van vestiging van de onderzochte entiteit het onderzoek uitvoert in samenwerking met andere betrokken gegevensbeschermingsautoriteiten. Op grond van de AVG werken gegevensbeschermingsautoriteiten samen om tot een consensus proberen te komen over de toepassing van de AVG in grensoverschrijdende zaken. Wanneer gegevensbeschermingsautoriteiten geen consensus kunnen bereiken, voorziet de AVG in geschillenbeslechting door het Europees Comité voor gegevensbescherming (EDPB).
Bij de handhaving van de AVG passen gegevensbeschermingsautoriteiten nationale procedureregels toe. In haar verslag van 2020 over de toepassing van de AVG merkte de Commissie op dat verschillen in de door gegevensbeschermingsautoriteiten toegepaste procedures een belemmering vormen voor de vlotte en doeltreffende werking van de mechanismen voor samenwerking en geschillenbeslechting van de AVG. In oktober 2022 heeft het EDPB de Commissie een “verlanglijst” gestuurd, met suggesties om een aantal procedurele aspecten te stroomlijnen en te verbeteren met als doel de samenwerking te versterken en te helpen voorzien in snellere rechtsmiddelen voor betrokkenen.
In het voorstel van vandaag is rekening gehouden met de input van een brede groep belanghebbenden, waaronder het EDPB, vertegenwoordigers van het maatschappelijk middenveld, het bedrijfsleven, de academische en juridische wereld en de lidstaten. Van februari tot maart 2023 heeft de Commissie een verzoek om input gepubliceerd en heeft zij feedback ontvangen van een breed scala aan belanghebbenden, waaronder het maatschappelijk middenveld en brancheorganisaties. De Commissie heeft op verzoek ook bilaterale vergaderingen over het voorstel gehouden met vertegenwoordigers van het maatschappelijk middenveld, nationale autoriteiten en belangenorganisaties van de sector.
Didier Reynders, EU commissaris voor Justitie, zie foto bij dit artikel : “Vijf jaar geleden is de meest ambitieuze en innovatieve gegevensbeschermingswetgeving ter wereld in werking getreden. Vijf jaar later is de AVG baanbrekende wetgeving in de EU en een inspiratiebron voor normen overal ter wereld geworden. Het is duidelijk dat de handhaving van de AVG werkt, maar de procedures in grensoverschrijdende zaken kunnen nog worden verbeterd. Vandaag komen we met dit voorstel om te laten zien dat we beter kunnen om zaken sneller en efficiënter af te handelen. We hebben geluisterd naar de standpunten van het Europees Comité voor gegevensbescherming, de gegevensbeschermingsautoriteiten, het maatschappelijk middenveld en de sector. Ons voorstel komt tegemoet aan hun oproepen en bouwt voort op onze eigen bevindingen om het recht van Europeanen op privacy beter te beschermen, bedrijven rechtszekerheid te bieden en de samenwerking tussen gegevensbeschermingsautoriteiten in het veld te stroomlijnen.”
