De Raad, vertegenwoordigd door het Poolse voorzitterschap, en het Europees Parlement hebben een voorlopig akkoord bereikt over een nieuwe wet die moet zorgen voor betere samenwerking tussen de nationale gegevensbeschermingsautoriteiten bij de handhaving van de algemene verordening gegevensbescherming (AVG) in grensoverschrijdende zaken.
“Dit is een grote stap vooruit richting betere samenwerking tussen nationale gegevensbeschermingsinstanties bij de handhaving van de rechten van burgers uit hoofde van de algemene verordening gegevensbescherming. Doel is grensoverschrijdende AVG-klachten van burgers of organisaties sneller te behandelen.” – Krzysztof Gawkowski, vicepremier en minister van Digitalisering
De 2 EU-wetgevers zijn regels overeengekomen om de administratieve procedures inzake bijvoorbeeld de rechten van klachtindieners of de ontvankelijkheid van zaken te stroomlijnen en zo de handhaving van de AVG, die sinds 25 mei 2018 van toepassing is, efficiënter te maken.
Met de nieuwe verordening kunnen grensoverschrijdende AVG-klachten van burgers of organisaties sneller behandeld worden en eventuele vervolgonderzoeken sneller ingesteld. Dit komt vooral dankzij de harmonisatie van de ontvankelijkheidsvereisten bij grensoverschrijdende vorderingen De ontvankelijkheid van een klacht over grensoverschrijdende gegevensverwerking wordt dus in elk land beoordeeld op basis van dezelfde informatie.
De vereisten en procedures voor het horen van de klachtindiener in geval van afwijzing van een klacht worden in de nieuwe verordening geharmoniseerd, en de verordening voorziet in gemeenschappelijke regels over de betrokkenheid van de klager bij de procedure.
Ook de onderzochte onderneming of organisatie krijgt het recht om op belangrijke momenten van de procedure te worden gehoord.
De klachtindiener en de onderzochte onderneming of organisatie krijgen het recht om de voorlopige bevindingen te ontvangen (d.w.z. vóór het definitieve besluit) zodat ze hun standpunt daarover kunnen geven.
De nieuwe regels voorzien in termijnen voor de afronding van onderzoeken. De 2 wetgevers kwamen een algemene onderzoekstermijn van 15 maanden overeen, die voor uiterst complexe zaken met 12 maanden kan worden verlengd. Bij een eenvoudige procedure voor samenwerking tussen de nationale gegevensbeschermingsinstanties moet het onderzoek binnen 12 maanden worden afgerond.
De Raad en het Europees Parlement kwamen een mechanisme overeen om klachten sneller af te handelen. Dit mechanisme voor snelle afhandeling stelt gegevensbeschermingsautoriteiten in staat een zaak af te handelen vóór de standaardprocedures voor een grensoverschrijdende klacht worden opgestart, d.w.z. voordat andere nationale autoriteiten erbij worden betrokken. Dit kan het geval zijn wanneer de onderneming of organisatie in kwestie de inbreuk heeft verholpen en de klager geen bezwaar heeft gemaakt tegen de snelle afhandeling van de klacht.
Om langdurige discussies tussen de verschillende gegevensbeschermingsinstanties over een specifieke zaak te voorkomen, worden in de nieuwe wet maatregelen ingevoerd om consensusvorming te vergemakkelijken. Zo is er een verplichting voor de leidende autoriteit om een samenvatting van de belangrijkste kwesties aan hun tegenhangers in de EU toe te zenden. Dit zal ervoor zorgen dat zij alle nodige informatie krijgen om hun standpunt over de zaak snel kenbaar te maken.
De definitieve tekst handhaaft een voorstel van de Raad voor een eenvoudige samenwerkingsprocedure, die toelaat om bij eenvoudige zaken bepaalde aanvullende regels achterwege te laten. Zo kunnen gegevensbeschermingsautoriteiten administratieve lasten vermijden en in niet-contentieuze zaken snel optreden, en de nieuwe samenwerkingsregels alleen aanwenden bij complexere onderzoeken
Het voorlopige akkoord moet nu nog door de Raad en het Parlement worden bevestigd. De nieuwe regels treden in werking na de definitieve goedkeuring door beide instellingen.
Met de AVG, de baanbrekende EU-wetgeving inzake gegevensbescherming, die de gegevensbeschermingsrechten in heel Europa harmoniseert, is een systeem van samenwerking tussen nationale gegevensbeschermingsinstanties opgezet. Die instanties, die verantwoordelijk zijn voor de handhaving van de AVG, moeten verplicht samenwerken wanneer een gegevensbeschermingszaak grensoverschrijdend is, bijvoorbeeld wanneer de klachtindiener in een andere lidstaat woont dan de onderzochte onderneming.
In zo'n grensoverschrijdend geval wordt één nationale autoriteit de leidende autoriteit in het onderzoek en moet zij samenwerken met haar tegenhangers in andere lidstaten.
