EU-kommissionens granskning av GDPR visar på tillämpningsproblem

Större medvetenhet om regelverket men krafttag behövs för bättre efterlevnad hos organisationer inom EU

GDPR, som varit i kraft sedan 2018, anger att EU-kommissionen vart fjärde år ska göra en översyn av förordningen för att identifiera eventuella tillämpningsproblem.

Den första översynsrapporten publicerades den 24 juni 2020, där EU-kommissionen bland annat fann att det gränsöverskridande arbetet mellan dataskyddsmyndigheter behövde förbättras. Därför har nu kommissionen antagit ett nytt förslag till en förordning om procedurregler som kompletterar GDPR. I förordningen fastställs detaljerade regler om gränsöverskridande klagomål, klagandens medverkan, rättsprocessens rättigheter för de parter som undersöks (personuppgiftsansvariga och personuppgiftsbiträden) och samarbete mellan dataskyddsmyndigheter. Förslaget förhandlas för närvarande av Europaparlamentet och rådet.

Den 25 juli 2024 publicerade EU-kommissionen den andra rapporten. I rapporten uppges det att kommissionen funnit allvarliga tillämpningsproblem med GDPR och uppmanar till tydligare riktlinjer för att stärka dataskyddet i medlemsländerna.

”Denna rapport kan leda till några konkreta förändringar av GDPR, men det är oklart hur omfattande dessa kommer att bli”, har Isabelle Roccia, Europachef för International Association of Privacy Professionals, uppgett för den EU-rättsliga tidningen Euractiv. Hon menar att det inte just nu finns en politisk vilja för en komplett lagstiftningsöversyn, så alternativen enligt Roccia är att ta fram nya riktlinjer för tillsynsmyndigheter eller kompletterande lagstiftningsändringar.

Nedan har vi sammanfattat vissa delar i rapporten av den 25 juli 2024:

Dataskyddsmyndigheternas roll

• Bättre tillsyn: Kommissionen konstaterar att det har skett en betydande ökning av tillsynsaktiviteter från dataskyddsmyndigheterna under de senaste åren, bl.a. åläggande av betydande sanktioner i banbrytande fall mot multinationella ”big tech”-företag. Detta har fått även mindre företag att ta dataskydd på allvar som bidragit till att skapa en efterlevnadskultur inom organisationer. 

• Svårigheter med att hantera ett stort antal klagomål: Flera dataskyddsmyndigheter uppger att alltför mycket av deras resurser används för att hantera ett stort antal klagomål, varav de flesta anses triviala och ogrundade, eftersom hanteringen av varje klagomål är en skyldighet enligt GDPR som omfattas av domstolsprövning. Detta innebär att dataskyddsmyndigheter inte kan tilldela tillräckliga resurser till andra aktiviteter, såsom egna initiativundersökningar, allmänna medvetandekampanjer och samarbeten med personuppgiftsansvariga. Många dataskyddsmyndigheter har emellertid antagit strategier för att öka effektivitet i klagomålshanteringen, såsom automation, användning av förfaranden för uppgörelse i godo och gruppering av klagomål som rör liknande frågor.

• Tolkning av GDPR: Ett av de grundläggande syftena med GDPR var att undanröja det fragmenterade förhållningssättet till dataskydd som fanns under det tidigare dataskyddsdirektivet (Direktiv 95/46/EG). Trots detta fortsätter dataskyddsmyndigheterna att anta olika tolkningar av centrala dataskyddsbegrepp, vilket är det största hindret för en enhetlig tillämpning av GDPR inom EU. Förekomsten av olika tolkningar skapar rättslig osäkerhet och ökar kostnaderna för företag (t.ex. genom att det krävs olika dokumentation för flera medlemsstater), vilket stör den fria rörligheten av personuppgifter inom EU och hindrar gränsöverskridande verksamhet.

Registrerades rättigheter

• Större medvetenhet: Individer, eller registrerade, blir alltmer bekanta med och utövar sina rättigheter enligt GDPR i större utsträckning. Företag noterar att rätten till radering används allt oftare, medan rätten till rättelse och rätten att invända sällan används. Enligt EU:s byrå för grundläggande rättigheter har medvetenheten om dataskydd ökat bland allmänheten, men förståelsen för dataskydd brister fortfarande, vilket framgår av det stora antalet triviala eller ogrundade klagomål.

• Rätten till tillgång: Personuppgiftsansvariga rapporterar att rätten till tillgång är den rättighet som registrerade oftast åberopar. Trots att Europeiska dataskyddsstyrelsen antog riktlinjer för denna rättighet 2022 fortsätter personuppgiftsansvariga att rapportera utmaningar, till exempel när det gäller att tolka begreppet ”ogrundade eller överdrivna förfrågningar” och att hantera förfrågningar som görs för ändamål som inte är relaterade till dataskydd, till exempel för att samla bevis för rättsliga förfaranden. Civilsamhällesorganisationer noterar att svar på tillgångsförfrågningar från personuppgiftsansvariga ofta är försenade eller ofullständiga. Offentliga myndigheter uppger svårigheter i samspelet mellan rätten till tillgång och regler om allmänhetens tillgång till allmänna handlingar.

• Skyddet av barns personuppgifter: Många intressenter rapporterar utmaningar med att utöva dataskyddsrättigheter när de registrerade är barn. I synnerhet rapporterar de att barn inte fullt ut förstår sina rättigheter, saknar digitala kunskaper och kan utsättas för otillbörlig påverkan. Kommissionen har inrättat en arbetsgrupp för att diskutera och stödja utvecklingen av en EU-gemensam metod för åldersverifikation. Detta arbete kommer nu att fortsätta under Digital Services Act Board.

EU-kommissionens slutsatser

• Under de 6 år som GDPR har varit tillämplig har den gett människor makt genom att låta dem ha kontroll över sina personuppgifter. Den har också bidragit till att skapa lika villkor för företag och utgjort en hörnsten för de många initiativ som driver den digitala omställningen i EU.

• För att fullt ut uppnå GDPR:s dubbla mål, dvs starkt skydd för individer samtidigt som man säkerställer fritt flöde av personuppgifter inom EU och säkra dataflöden utanför EU, behöver fokus enligt kommissionen läggas på:

  • snabbt antagande av kommissionens förslag som procedurregler för att leverera snabba åtgärder och rättslig säkerhet,

  • en konsekvent tolkning och tillämpning av GDPR i hela EU,

  • effektivt samarbete mellan tillsynsmyndigheter på både nationell och EU-nivå för att garantera en konsekvent och sammanhängande tillämpning av den växande mängden EU-regler för digitalisering,

  • Europeiska dataskyddsstyrelsen bör anta effektivare och mer riktade riktlinjer, yttranden och beslut samt prioritera nyckelfrågor för att minska bördan på dataskyddsmyndigheterna.

• För att stödja den effektiva tillämpningen av GDPR behövs flera åtgärder. Kommissionen kommer stödja och övervaka genomföranden av kommande åtgärder.

Slutsats

I rapporten uppges det att GDPR är en av hörnstenarna i EU:s strategi för den digitala omvandlingen. GDPR:s grundläggande principer – rättvis, säker och transparent behandling av personuppgifter, som säkerställer att individer har kontroll – ligger till grund för alla EU:s rättsakter som involverar behandling av personuppgifter. Det tas upp att många rättsakter nyligen antagits som kompletterar eller specificerar hur GDPR bör tillämpas i vissa fall. Här räknas bland annat Digital Services Act, Digital Markets Act, AI Act och en ny e-Privacy Regulation som ska ersätta e-Privacy Directive upp. Det går således att konstatera att GDPR fortsättningsvis är ledstjärnan för alla typer av it-rättsliga akter, och att förordningen är grunden för EU:s digitala strategi. EU-kommissionen har emellertid i sin rapport identifierat flera brister med efterlevnaden av förordningen och kräver att åtgärder vidtas för att skyddet av personuppgifter upprätthålls. Detta kommer troligtvis leda till ett ökat fokus på att få organisationer att efterleva dataskyddsregleringen och utökade resurser till tillsynsmyndigheter.

Det återstår att se exakt vilka åtgärder EU kommer vidta, utöver antagandet av förordningen om procedurregler, men en sak är säker – dataskyddet kommer även fortsättningsvis vara i blickfånget. Av den anledningen är det viktigt att bevaka rättsutvecklingen på området och att varje organisation ser till att kontinuerligt förbättra sitt dataskyddsarbete