av Josef Wikell, ordförande i den nystartade ideella föreningen GDPR Rights Watch.
Med införandet av EU:s allmänna dataskyddsförordning (GDPR) har en rad nya rättigheter och skyldigheter etablerats för att skydda personuppgifter inom Europeiska unionen. I Sverige regleras överklaganden av tillsynsmyndigheters beslut enligt artikel 77 GDPR genom dataskyddslagen, vilket innebär att dessa prövningar sker inom ramen för nationell rätt och hanteras av förvaltningsdomstolar. Detta rättsmedel är uttömt när beslutet vinner laga kraft. I svensk lagstiftning regleras inte talan enligt artikel 78, som istället gäller med direkt effekt.
Artikel 78 GDPR och dess betydelse
Artikel 78 GDPR ger individer rätten att väcka talan mot tillsynsmyndigheters beslut vid en nationell domstol. Detta inkluderar beslut som påverkar deras rättigheter enligt GDPR, vilket gör det till en civilrättslig talan i ljuset av GDPR. Enligt artikel 78.1 ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut från en tillsynsmyndighet. Viktigt att notera är att artikel 78.1 understryker att denna rättsliga prövning av bindande beslut ska ske ”utan att det påverkar något annat administrativt
prövningsförfarande”, vilket innebär att den rättsliga prövningen kan existera parallellt med och oberoende av administrativa prövningar som kan ske enligt nationell rätt.
I Sverige hanteras prövningen av förvaltningsärenden ofta av förvaltningsrätten, som ansvarar för överklaganden av myndighetsbeslut enligt dataskyddslagen. Denna prövning fokuserar huvudsakligen på om myndigheten har följt nationella regler och procedurer. Ett beslut som fattats enligt artikel 77 och sedan prövats enligt svensk lag i förvaltningsrätten kan därför anses korrekt utifrån svensk rättslig praxis och nationella lagar, såsom dataskyddslagen och förvaltningsprocesslagen (FPL). Dock kan detta beslut samtidigt vara felaktigt enligt GDPR, om Integritetsskyddsmyndigheten (IMY) har gjort en felaktig tolkning av förordningen. Förvaltningsrätten kan inte pröva beslutet i sak då de inte utövar tillsyn i dessa frågor.
Artikel 77 anger dessutom att IMY ska informera klaganden om möjligheten till rättslig prövning, vilket ytterligare understryker att en rättslig process är en viktig och kompletterande del av rättsskyddet under GDPR. En prövning enligt artikel 78 GDPR, som kan göras i allmän domstol, till exempel tingsrätten, ger däremot möjlighet till en fullständig rättslig prövning av hur GDPR har tillämpats. Detta understryker behovet av en separat och oberoende prövning enligt artikel 78, som fokuserar specifikt på rättigheterna enligt GDPR och kan rätta till felaktiga tolkningar av EU-rätten som inte fångas upp inom den nationella förvaltningsrätten.
Fullständig domstolsprövning enligt EU-domstolen
EU-domstolen har i de förenade målen C-26/22 och C-64/22 klargjort att för att uppfylla kraven i artikel 78 GDPR måste en domstol ha fullständig behörighet att pröva alla fakta och rättsliga frågor. Detta innebär att en begränsad prövning, som ofta utförs av förvaltningsrätten, inte är tillräcklig. Förvaltningsrätten i Sverige gör ofta en mer begränsad granskning av beslutens laglighet och formella korrekthet, snarare än en fullständig prövning i sak. Vidare används i artikel 78.3 uttrycket ”rätten att väcka talan”, vilket signalerar att denna process är en formell rättslig prövning och inte bara en administrativ överklagan.
Oberoende prövning – separera artikel 77 och 78
En ytterligare komplikation är kravet på oberoende prövning enligt GDPR. Artikel 77 ger individer rätt att lämna in klagomål till tillsynsmyndigheter, medan artikel 78 ger rätten att väcka talan mot tillsynsmyndigheternas beslut. För att säkerställa oberoendet mellan dessa två processer bör de hanteras av olika instanser. Att låta förvaltningsrätten hantera både överklaganden enligt artikel 77 och rättsliga prövningar enligt artikel 78 kan undergräva detta
oberoende.
Enligt EU-domstolens dom i mål C-132/21, är det klart att rättsmedlen enligt artiklarna 77 och 78 i GDPR ska kunna användas parallellt och oberoende av varandra, vilket stärker argumentet för att olika domstolar bör hantera dessa olika typer av prövningar för att upprätthålla oberoendet.
Tingsrättens behörighet enligt GDPR och RB 10:21
För att garantera en fullständig och oberoende prövning är det lämpligt att väcka talan vid tingsrätten. Enligt artikel 78.3 GDPR ska talan väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte. Rättegångsbalken (RB) 10 kap. 21 § anger att om det i lag eller författning har givits avvikande bestämmelser om laga domstol, ska de bestämmelserna tillämpas. I propositionen till dataskyddslagen (prop. 2017/18:105 s. 149)
framgår att regleringen om laga domstol i GDPR övertar de allmänna forumreglerna i rättegångsbalken, vilket alltså ger tingsrätten behörighet att pröva talan enligt artikel 78 GDPR. Detta innebär att några ytterligare justeringar i svensk lagstiftning inte behövs, eftersom RB 10:21 redan ger tingsrätten behörighet att hantera dessa ärenden.
Artikel 79 och skadestånd enligt artikel 82
Tingsrätten hanterar redan prövningar enligt artikel 79 för andra personuppgiftsansvariga än myndigheter samt skadeståndskrav enligt artikel 82 GDPR. Detta innebär att tingsrätten är väl lämpad att hantera alla rättsliga prövningar under GDPR, inklusive prövningar enligt artikel 78.
Res judicata
Det är viktigt att förstå principen om res judicata, som innebär att ett ärende som redan har prövats och avgjorts av en behörig domstol inte kan prövas igen. Dock klargör EU-domstolen i C-132/21 att parallell användning av rättsmedlen enligt artiklarna 77 och 78 i GDPR inte ska påverka varandra. Detta innebär att en prövning enligt artikel 78 inte nödvändigtvis påverkas av en tidigare administrativ prövning enligt artikel 77, eftersom de två prövningarna sker inom olika rättsordningar och system. Den administrativa prövningen
hanterar överklaganden av tillsynsmyndighetens beslut, medan den rättsliga prövningen enligt artikel 78 är en separat process som kan prövas oberoende av tidigare administrativa beslut.
Vidare är det centralt att påpeka att EU-rätten har företräde framför nationell lagstiftning, vilket innebär att en prövning av talan enligt artikel 78 GDPR har företräde framför en överklagan enligt FPL. Detta innebär att om det skulle uppstå en konflikt mellan en administrativ prövning under svensk lag och en rättslig prövning under GDPR, så ska den senare ha företräde. Detta säkerställer att rättigheter enligt EU-lagstiftningen inte undermineras av nationella procedurer. Därför bör en domstol i Sverige ge företräde till en prövning enligt artikel 78, även om ett tidigare beslut redan har överklagats enligt nationella förvaltningsrättsliga principer.
Sammanfattning
Sammantaget visar genomgången att en administrativ prövning i förvaltningsrätten inte uppfyller de krav som ställs av EU-rätten, särskilt när det gäller att säkerställa en fullständig och oberoende rättslig prövning av tillsynsmyndigheternas beslut enligt GDPR. För att garantera att individens rättigheter enligt GDPR skyddas på ett effektivt sätt, bör prövningen ske i allmän domstol, såsom tingsrätten, som har både den kompetens och den oberoende ställning som krävs för att uppfylla EU-rättens krav.
IMY har enligt artikel 77 skyldighet att utöver rätten att överklaga enligt nationell rätt även informera om rätten till rättslig prövning enligt artikel 78.
