EDPB:s ”önskelista”, EU:s första dataskyddssigill och den digitala euron

Den 12 oktober 2022 antog den europeiska dataskyddsstyrelsen (”EDPB”) en förteckning med processuella frågor som EDPB önskar se harmoniserade på EU-nivå för att underlätta tillämpningen av dataskyddsförordningen (”GDPR”). Denna ”önskelista” är en av de nyckelåtgärder som anges i EDPB:s Wienförklaring om samarbete för genomförande. EDPB har överlämnat den till Europeiska kommissionen för beaktande.

Önskelistan med processuella frågor som borde harmoniseras

Förteckningen behandlar bland annat parternas ställning och rättigheter i administrativa förfaranden, tidsfrister för förfarandet, krav för att klagomål ska kunna tas upp till prövning eller avvisas, dataskyddsmyndigheternas utredningsbefogenheter och det praktiska genomförandet av samarbetsförfarandet.

EDPB:s ordförande Andrea Jelinek förklarar i ett pressmeddelande att:

”EDPB har vidtagit betydande åtgärder för att främja ett effektivt samarbete med hänsyn till en stark och snabb tillämpning av GDPR. Vi har identifierat vissa hinder som ligger utanför vårt uppdrag och som kan kräva ett lagstiftningsinitiativ. Det nuvarande lapptäcket av nationella förfaranden och praxis har en skadlig inverkan på samarbetet mellan dataskyddsmyndigheter” (vår översättning).

Av intresse i detta sammanhang är att Kommissionen har ifrågasatt om Sverige har implementerat regler som uppfyller EU:s befintliga krav på att erbjuda registrerade effektiva rättsmedel – bland annat vad gäller möjligheten att klaga vid Integritetsskyddsmyndighetens (IMY) passivitet att hantera klagomål från registrerade (se punkt 4 i detta uttalande från Kommissionen).

Av artikel 78.1 och 78.2 i GDPR följer att varje fysisk eller juridisk person ska ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut som meddelats av en tillsynsmyndighet eller då tillsynsmyndigheten underlåter att behandla ett klagomål.

Kommissionens kritik är inte obefogat då både IMY och svenska domstolar verkar sakna ledning kring vilka rättigheter en person har att få sin sak prövad.

Förvaltningsrätten (”FR”) i Stockholm meddelande den 31 oktober dom i mål nr 13308-22 där en fysisk person fått sin begäran, om att ett avgörande skulle avgöras hos IMY, avvisad.

Enligt FR måste varje klagomål som inte beviljas resultera i ett motiverat beslut, gentemot vilket den registrerade personen ska ha rätt till ett effektivt rättsmedel. FR hänvisar till Kammarrätten i Stockholms avgörande den 18 maj 2022 i mål nr 1426-22. Däri ansåg Kammarrätten att när IMY har inlett tillsyn med anledning av ett klagomål, ska den klagande ha rätt att överklaga IMY:s beslut i tillsynsärendet.

FR konstaterar slutligen att en enskild som har lämnat in ett klagomål för att iaktta sina rättigheter enligt GDPR anses, dels ha partsställning i ärendet, dels ha inlett ärendet i den del det berör den enskildes klagomål och behandlingen av dennes personuppgifter. Den enskilde får därför, med stöd av 12 § FL, begära att ärendet ska avgöras.

JP Infonet har skrivit om ytterligare ett fall, se här, där en man överklagade IMY:s beslut att inte vidta någon åtgärd med anledning av hans klagomål avseende en miljöförvaltnings hantering av hans personuppgifter.

FR bedömde att beslutet inte hade påverkat personens situation på ett sätt som medförde att beslutet var överklagbart och avvisade därför överklagandet. Mannen överklagade FR:s avvisningsbeslut till kammarrätten, som inte meddelade prövningstillstånd. Därefter överklagade han kammarrättens beslut till Högsta förvaltningsdomstolen (HFD).

HFD konstaterade att det i frågan, om IMY:s beslut att inte vidta någon åtgärd med anledning av ett klagomål rörande personuppgiftsbehandling är överklagbart, saknas vägledande avgöranden. Eftersom det är av vikt för ledningen av rättstillämpningen att frågan prövas av högre rätt bedömer HFD att prövningstillstånd ska meddelas i kammarrätten.

EU:s första dataskyddssigill

Därefter antog EDPB ett yttrande avseende Europrivacy-styrelsens godkännande av de certifieringskriterier som lagts fram av dataskyddsmyndigheten i Luxemburg. Detta yttrande innebär att EDPB har godkänt det allra första europeiska dataskyddssigillet i enlighet med artikel 42 (5) GDPR.

Certifieringsmekanismen för Europrivacy är ett allmänt system som är inriktat på ett stort antal olika behandlingar som utförs av både personuppgiftsansvariga och personuppgiftsbiträden från olika sektorer. Systemet innehåller särskilda kriterier som gör att systemet är skalbart och kan tillämpas såväl på specifika behandlingar som verksamhetsområden.

Certifiering enligt dataskyddssigillet har giltighet i alla EU:s medlemsstater. Det gör det möjligt för olika personuppgiftsansvariga och personuppgiftsbiträden i olika länder att uppnå samma nivå av efterlevnad för liknande behandlingsprocesser.

Yttrande om den digitala euron

Vid mötet antog EDPB även ett yttrande om vikten av att säkerställa inbyggt dataskydd och dataskydd som standard i projektet för en digital euro. EDPB varnar för systematisk validering och spårning av samtliga transaktioner som genomförs i den digitala euron och rekommenderar att den digitala euron görs tillgänglig både online och offline, med ett tröskelvärde under vilket ingen spårning är möjlig. Detta för att möjliggöra fullständig anonymitet för vardagstransaktioner. Det framgår inte hur EDPB har resonerat men detta intresse måste givetvis vägas mot intresset av att motverka penningtvätt och finansiering av terrorism.