Trójstronne negocjacje UE w sprawie rozporządzenia proceduralnego, które powinno zharmonizować i przyspieszyć egzekwowanie ogólnego rozporządzenia o ochronie danych (RODO), prawdopodobnie zakończą się w najbliższą środę (21 maja). Propozycja ta grozi jednak osłabieniem egzekwowania RODO poprzez wprowadzenie zbyt długich terminów i zbyt skomplikowanych procedur. Pomimo faktu, że głównym negocjatorem z ramienia Parlamentu Europejskiego jest Partia Zielonych, propozycja ta również strukturalnie dyskryminuje użytkowników i zapewnia preferencyjne traktowanie firmom z sektora Big Tech preferencyjne traktowanie Big Tech, jednocześnie konsekwentnie rezygnując ze stanowiska Parlamentu. Proponowane rozporządzenie nie tylko grozi paraliżem egzekwowania prawa, ale może również stanowić naruszenie podstawowych elementów prawa do rzetelnej procedury i dobrej administracji. W konsekwencji, noyb analizuje możliwości wszczęcia postępowania w sprawie unieważnienia, jeśli rozporządzenie zostanie przyjęte w obecnej formie.
- Porównanie wniosku Komisji oraz poprawek Parlamentu i Rady
- Artykuł informacyjny zawierający przegląd proponowanych kroków proceduralnych po pierwszych negocjacjach trójstronnych
Terminy po raz pierwszy w 2029 r.* Jedną z największych obietnic nowego rozporządzenia proceduralnego RODO było przyspieszenie procedur. Rozporządzenie jest jednak nie tylko niezwykle skomplikowane, ale może również prowadzić do wydłużenia procedur. Podczas gdy Parlament Europejski pierwotnie przewidywał ogólne terminy wynoszące zaledwie 3 miesiące, uzgodnione terminy tylko dla niektórych etapów procedury (faza planowania, prawo do bycia wysłuchanym i faza decyzyjna) wynoszą już ponad rok. Negocjatorzy wciąż muszą zdecydować o czasie trwania głównej części procedury: dochodzenia. Oznacza to, że prawdopodobnie skończymy z terminami przekraczającymi dwa lata. Co więcej, samo rozporządzenie będzie bardzo opóźnione, ponieważ okres przejściowy ustalono na 18 miesięcy od publikacji rozporządzenia - czyli około końca 2026 lub początku 2027 roku. Jeśli to wszystko zostanie zsumowane, jest prawdopodobne, że pierwszy przypadek RODO, który może napotkać termin, będzie miał miejsce około 2029 roku.
Max Schrems: "O ile słyszeliśmy, nie ma ostatecznego porozumienia w sprawie terminów. Jednak terminy, które zostały już uzgodnione, wynoszą 7 miesięcy na zaplanowanie procedury RODO i 4 miesiące na wydanie decyzji. Biorąc pod uwagę, że konieczne jest również przeprowadzenie dochodzenia, prawdopodobnie mówimy o 2-3 latach na wydanie decyzji. Parlament Europejski pierwotnie domagał się terminów krótszych niż 3 miesiące. W wielu państwach członkowskich terminy te wynoszą od 3 do 6 miesięcy"
Kłóci się to z unijnym programem "upraszczania". Zamiast uprościć i usprawnić procedury, nowe rozporządzenie robi dokładnie odwrotnie: dodano wiele dodatkowych kroków w procedurze, wiele dokumentów musi być wydanych w dwóch lub trzech wersjach dla różnych innych organów i stron. Zamiast jednego centralnego systemu cyfrowego ze wszystkimi dokumentami, system będzie przechowywał tylko niewielką liczbę dokumentów, podczas gdy większość akt spraw będzie przechowywana i dystrybuowana między ponad 40 organami ochrony danych w UE i będzie musiała być wymieniana ręcznie. Wszystko to będzie kosztować dziesiątki tysięcy godzin pracy, co prawdopodobnie przełoży się na miliony euro niepotrzebnych kosztów w państwach członkowskich.
Max Schrems:"To rozporządzenie dodaje mnóstwo dodatkowych kroków i dodatkowej papierkowej roboty do istniejących procedur. Władze i przedsiębiorstwa będą miały więcej pracy z procedurami RODO - nie mniej. Zwiększa to koszty przestrzegania przepisów i przeciąża organy, nie przynosząc żadnych korzyści użytkownikom ani firmom. Jest to dokładne przeciwieństwo tego, co obiecuje uproszczenie UE"
Strukturalna dyskryminacja użytkowników względem firm. Ogólnie rzecz biorąc, rozporządzenie również strukturalnie dyskryminuje użytkowników. W niezliczonych drobnych różnicach rozporządzenie znacznie ułatwia firmom obronę ich interesów niż użytkownikom obronę ich prawa do ochrony danych. Na przykład: firmy mogą uzyskać wszystkie dokumenty lokalnie od swojego organu prowadzącego, użytkownicy muszą uzyskać dokumenty dostarczone z zagranicy, bez żadnego realistycznego sposobu, aby nawet dowiedzieć się, że dokumenty istnieją lub podjąć działania, jeśli dokumenty nie zostaną dostarczone. Spółki mają "prawo do bycia wysłuchanym", podczas gdy użytkownicy mają jedynie "możliwość przedstawienia swoich poglądów". Podczas gdy firmy mogą (w niektórych jurysdykcjach) mieć prawo do ustnego przesłuchania, podczas którego mogą spierać się z organem, użytkownicy mają jedynie możliwość wysłania pisemnego oświadczenia. Wiele elementów procedury podlega prawu państwa członkowskiego, w którym znajduje się siedziba firmy, a nie użytkownika.
Max Schrems: "Całe rozporządzenie jest skierowane przeciwko użytkownikom. W prawie każdym artykule preferowane są firmy, a użytkownicy są dyskryminowani. W tej procedurze nie ma absolutnie żadnej "równości broni". Podczas gdy prawo UE zwykle chroni słabszą stronę, to rozporządzenie dyskryminuje słabszą stronę"
PE "sprzedał się" Komisji i Radzie. Podczas gdy projekt Komisji był w dużej mierze krytykowany przez wiele stron, Parlament Europejski podjął się znacznego przeredagowania. Choć nie był on doskonały, podstawowe problemy strukturalne wniosku Komisji zostały naprawione przez Parlament. Jednak w negocjacjach między Komisją, państwami członkowskimi UE i Parlamentem, Parlament w zasadzie zrezygnował z prawie wszystkich tych stanowisk. Prawie wszystkie przepisy dotyczące praw użytkowników, krótkich terminów lub przejrzystych procedur zostały wyeliminowane. Wszelkie opcje realistycznego egzekwowania nowych przepisów wobec organów ochrony danych, które ich nie przestrzegają, zostały odrzucone.
Max Schrems:"Parlament Europejski całkowicie wyprzedał swoje podstawowe stanowiska. Pozostały tylko niewielkie ślady ich pierwotnej wersji. Jest to niezwykle dziwne, biorąc pod uwagę, że główny negocjator Parlamentu jest członkiem Partii Piratów i Grupy Zielonych - rzekomo zaciekłych bojowników o prawa użytkowników. Podczas negocjacji w ostatnich miesiącach odnieśliśmy ogólne wrażenie, że nikomu nie zależy na tym pliku. Wynik jest tego całkowitym odzwierciedleniem"
noyb rozważa procedury unieważnienia. Prawo UE musi być zgodne z podstawowymi zasadami zapisanymi w Karcie praw podstawowych UE. Wśród nich są prawo do dobrej administracji (art. 41), prawo do sprawiedliwej procedury w rozsądnym terminie (art. 47) lub równe traktowanie na mocy prawa (art. 20). Ponadto UE musi również zapewnić, że podstawowe prawo do ochrony danych zawarte w art. 8 Karty może być skutecznie egzekwowane przez użytkowników. Nowe rozporządzenie wydaje się strukturalnie naruszać te wymogi. Każdy bezpośrednio dotknięty może zatem wnieść tak zwaną procedurę unieważnienia do sądów UE, aby rozporządzenie zostało uznane za nieważne - w całości lub w dużych częściach. noyb analizuje obecnie możliwości wniesienia takich wyzwań.
Max Schrems:"Rozporządzenie jest tak wadliwe strukturalnie, że Trybunał Sprawiedliwości może być zmuszony do jego unieważnienia. Obecny projekt prawdopodobnie narusza Kartę na wiele sposobów w zakresie dostępu do dowodów, sprawiedliwości, równości broni i terminowej decyzji. Teoretycznie rozporządzenie może zostać unieważnione, zanim zacznie obowiązywać"
*Uwaga: W poprzedniej wersji tego wpisu wspomnieliśmy o 33 miesiącach, ponieważ błędnie dodaliśmy okres 15 i 18 miesięcy, które w rzeczywistości biegną równolegle.
