Sammanfattning av Rådets möte den 4 december 2014 (del 2 av 2)

Av Christine Storr (Kirchberger)

One-stop-shop

I det ursprungliga förslaget ville Kommissionen underlätta för registeransvariga företag att endast hantera personuppgiftsfrågor gentemot dataskyddsmyndigheten där företaget/myndigheten är etablerat. Samma princip skulle gälla för de enskilda registrerade, dvs de skulle också endast vända sig till dataskyddsmyndigheten i sitt egen hemland.

One-stop-shop är en av de 4 pelare som Kommissionen har byggt hela förslaget på. Pelare 1 avser en harmoniserad reglering genom en förordning, pelare 2 inkluderar företag utanför EU i tillämpningsområdet av regleringen, pelare 3 är rätten att bli bortglömd och pelare 4 innebär en one-stop-shop för företag och medborgare. Europaparlamentet stödde one-stop-shop regeln i princip, med några förslag på ändringar.

I Rådet – som vi tidigare har rapporterat – var frågan dock redan omdiskuterat i december förra året, mest på grund av individers rättigheter. En snabb överblick över alla dokument som har publicerats av Rådet de senaste månaderna visar att one-stop-shop har lett till många synpunkter. På grund av dessa diskussioner la Rådet nu fram ett nytt förslag som ska öka de nationella dataskyddsmyndigheternas insyn i frågor som rör medborgare i sitt land.

Nya förslaget för one-stop-shop bygger på tre olika alternativ där tillsynen beror på om klagomålet är av nationell art, berör gränsöverskridande situationer där tillsynsmyndigheten kommer överens om hanteringen, eller gränsöverskridande fall där myndigheterna inte kan komma överens om hanteringen.

1:a alternativet (Artikel 51) – nationella fall Utgångspunkt är att personuppgiftsbehandlingen utförs endast i ett medlemsland eller av en myndighet i ett medlemsland. I detta fall ska tillsynen utövas av den nationella dataskyddsmyndigheten. Enligt Rådet faller de flesta situationer under denna regel.

2:a alternativet – one-stop-shop för gränsöverskridande fall (cross-border cases) (Artikel 51a) Mekanismen bygger på ett samarbete mellan en dataskyddsmyndighet med huvudansvaret (“lead DPA”) och andra dataskyddsmyndigheter som berörs. Alternativet ska träda in vid viktiga gränsöverskridande situationer där den registeransvarige har säten i flera olika medlemsländer. I denna situation är dataskyddsmyndigheten av det landet där den registeransvarige har sitt huvudsäte ansvarig som ‘lead DPA’. Alternativet bygger på ett bra samarbetet mellan alla berörda dataskyddsmyndigheter.

3:e alternativet – tvistelösningssystem för gränsöverskridande fall (Artikel 57) Om ett samarbete enligt 2:a alternativet inte kan nås, reglerar förordningen i Artikel 57.2a en tvistelösning som involverar den föreslagna nya EU myndigheten ‘European Data Protection Board’ (EDPB) som ska ersätta Artikel 29 Gruppen. Myndighetens beslut i tvisten ska vara bindande för de nationella dataskyddsmyndigheter.

Även om en majoritet av ministrerna stödde grundtanken blev resultatet av diskussionerna i Rådet att mer arbete krävs för att nå en överenskommelse om detaljerna.

Avslutande kommentar

Hela diskussionen i Rådet kan ses här.

I ordinarie lagstiftningsförfarandet kräver Rådets ändringar till förslaget kvalificerad majoritet, dvs majoriteten av medlemsstaterna (minst 15 länder) måste rösta ja och ändringarna måste stödjas av minst 260 röster av totalt 352 röster. Med andra ord behöver inte alla medlemsländer stödja Rådets gemensamme ståndpunkt.

Italien lämnar över ordförandeskap till Lettland den 1 januari 2015. Enligt 18-månadersprogrammet av Italien, Lettland och Luxemburg har dataskyddsreformen hög prioritet:

Arbetet med förslagen till en förordning om skydd av personuppgifter och ett direktiv om skydd av personuppgifter inom de behöriga myndigheter för att förebygga, utreda, upptäcka eller lagföra straffbara gärningar eller verkställande av straffrättsliga påföljder kommer att fullföljas med hög prioritet.

Rådet kommer att sträva efter att nå en överenskommelse om uppgiftsskyddspaketet, med utgångspunkt i det arbete som gjorts under de föregående ordförandeskapen och i linje med Europeiska rådets slutsatser av den 24–25 oktober 2013, där man bekräftade att ärendet är “avgörande för att den inre digitala marknaden ska kunna fullbordas 2015”. Syftet med denna viktiga reform är att stärka medborgarnas rättigheter och anpassa medlemsstaternas tillsyn över behandlingen av personuppgifter, i en snabbt föränderlig tid av digital ekonomi och teknisk utveckling, särskilt med avseende på användningen av onlineplattformar och onlinetjänster.

En viktig målsättning kommer att vara att se till att ramen för skydd av personuppgifter på de olika politikområdena inom sektorn för rättsliga och inrikes frågor är konsekvent.

Första målet är nu att Rådet beslutar om en gemensam ståndpunkt för att sedan kunna påbörja förhandlingar med Europaparlamentet och Kommissionen.