ITanalyze

سعید میرشاهی - مرکز اروپایی حقوق دیجیتال، یک سازمان غیرانتفاعی مستقر در وین است که بر حفاظت از داده‌ها و حقوق حریم خصوصی شهروندان اروپایی تمرکز دارد. این مرکز، در سال ۲۰۱۸ توسط مکس شرمز، وکیل و فعال حقوق حریم خصوصی تأسیس شد.

هدف اصلی NOYB، اجرای مؤثر قوانین حفاظت از داده‌ها، به‌ویژه مقررات عمومی حفاظت از داده‌ها (GDPR) در اتحادیه اروپا، از طریق طرح شکایات حقوقی و نظارت بر عملکرد شرکت‌ها و نهادهای مسئول است. نامNOYB ، از عبارت”None of Your Business”  به معنای «به شما مربوط نیست»، گرفته شده و اشاره نمادین به حق حریم خصوصی افراد دارد.

این مرکز، با برشمردن دلایل مختلف در حوزه «فرایندهای اداری ملی و ناکارآمدی مقامات حفاظت از داده‌ها»، معتقد است وعده اتحادیه اروپا برای همکاری بهتر در زمینه اجرای GDPR، طی سال‌های گذشته تا کنون، محقق نشده است. در گزارش زیر، NOYB، این موضوع را از زوایای مختلف، بررسی کرده است.

قرار بود از سال ۲۰۱۸، مقررات عمومی حفاظت از داده‌ها (GDPR)، این اطمینان را ایجاد کند که شهروندان اروپایی در سراسر اتحادیه اروپا از حقوق حریم خصوصی برخوردار شوند.

با این حال، وقتی حقوق افراد، توسط شرکت‌های مستقر در دیگر کشورهای عضو اتحادیه اروپا یا منطقه اقتصادی اروپا (EEA) نقض می‌شود، رسیدگی به شکایات از طریق «مکانیسم همکاری» پیچیده بین مقام حفاظت از داده‌ها (DPA)، در کشور عضو محل سکونت کاربر و مقام حفاظت از داده‌ها در کشور محل استقرار شرکت انجام می‌شود. این سازوکار اجرای قانون، در مرکز آن چیزی قرار دارد که عموما شکست در اجرای مؤثر GDPR شناخته می‌شود؛ شکایات گم می‌شوند، تصمیم‌گیری‌ها سال‌ها طول می‌کشد و عملاً هیچ راهی برای اقدام علیه نهادهای غیرفعال وجود ندارد.

اتحادیه اروپا تلاش کرد این وضعیت را از طریق «مقررات آیین دادرسی GDPR»  اصلاح کند، اما اکنون مشخص شده این طرح در آستانه شکست فاجعه‌بار قرار دارد. مذاکرات نهایی موسوم به «سه‌جانبه» بین پارلمان اروپا، کشورهای عضو و کمیسیون اروپا، آشفتگی‌های قانونی ایجاد کرده که احتمالاً روندها را پیچیده‌تر، کندتر و مستعد چالش‌های حقوقی خواهد کرد.

مرکز NOYB، که این پرونده را از نزدیک دنبال کرده، اکنون هشدار عمومی صادر کرده است: «این مقررات، نیازمند اقدام جدی و بازنگری گسترده است. مسیر کنونی، به طور کلی، وضعیت را بدتر خواهد کرد.»

شعار «ساده‌تر و سریع‌تر»، اکنون به «پیچیده‌تر و بی‌ثبات‌تر» تبدیل شده است: تاکنون، GDPR، فقط پیش‌بینی کرده بود که نهادهای حفاظت از داده در ۳۰ کشور اتحادیه اروپا و منطقه اقتصادی اروپا، باید با یکدیگر «همکاری» کنند، اما جزییات نحوه همکاری را روشن نکرده بود. این در حالیست که رویه‌های ملی در این کشورها، تفاوت‌های گسترده‌ای دارند.

الزامات مربوط به استماع طرفین، تبادل مدارک یا صدور رسمی تصمیم معتبر، در هر کشور با کشور دیگر، متفاوت است. حتی اصول اولیه مانند اشتراک‌گذاری اطلاعات مربوط به یک پرونده با همه مقامات مسئول، در عمل کارآیی ندارد. در نتیجه، این وضعیت، منجر به روندهای فوق‌العاده کند در اجرای GDPR، گم شدن اسناد و شکست در پیگیری‌های اجرایی شده است؛ حتی پرونده‌های ساده‌ مانند درخواست دسترسی یک فرد به اطلاعات شخصی خود، ممکن است بیش از پنج سال طول بکشد!

وقتی کمیسیون اروپا اعلام کرد که قصد دارد این آشفتگی را از طریق «مقررات آیین دادرسی GDPR» اصلاح کند، وعده اصلی این بود که بالاخره اجرای مؤثر را از طریق روندهای سریع‌تر، ساده‌تر و منسجم‌تر محقق خواهد کرد.

با این حال، در شرایط فعلی، نهادهای اتحادیه اروپا در آستانه مشاهده نتیجه‌ای کاملاً معکوس هستند: کابوس رویه‌ای پیچیده‌تر، انعطاف‌ناپذیرتر و ناهماهنگ‌تر که نه تنها اجرای GDPR را بهبود نمی‌بخشد، بلکه آن را تضعیف می‌کند.

کمیسیون اروپا، پیش از ارائه این پیشنهاد، هیچ ارزیابی اثربخش یا مشاوره معناداری با ذینفعان انجام نداد و به‌وضوح، فاقد دانش پایه‌ درباره رویه‌های مناسب بود. پس از ارائه این پیشنهاد ناقص توسط کمیسیون، شورای اتحادیه اروپا نیز موضع نیمه‌کاره اتخاذ کرد، چرا که ریاست بلژیکی شورا، قصد داشت این پرونده را تا تابستان ۲۰۲۴، به سرعت نهایی کند. به نظر می‌رسد پارلمان اروپا که در دوره قبلی، قدم‌های امیدوارکننده‌ برای اصلاح اساسی پیشنهاد کمیسیون برداشته بود، تحت رهبری جدید، تقریباً تمام جاه‌طلبی‌های اصلاحی را کنار گذاشته است.

در مجموع، این ابتکار قانون‌گذاری، به‌ویژه پس از وعده‌های اخیر برای توجه جدی به حقوق بنیادین اروپایی‌ها در زمینه حفاظت از داده‌ها و حریم خصوصی و نیز تلاش برای اثبات به دنیا کهGDPR ، تنها روی کاغذ استاندارد طلایی نیست، در آستانه رسوایی برای اتحادیه اروپا قرار دارد.

نتیجه‌ پیش‌بینی‌شده، همچنین با هدف اتحادیه اروپا برای کاهش قوانین پیچیده و ارتقای کیفیت حقوقی مقررات‌گذاری‌های اروپایی در تناقض است. به جای ساده‌سازی روند اصلی، پیش‌نویس‌های در حال مذاکره، تقریباً به 10 نوع روند مختلف در اجرای GDPR با زیرشاخه‌ها، انحراف‌ها و پیچ‌وخم‌های متنوع منجر می‌شود.

مکس شرمز، رئیس noyb.eu می‌گوید: «ما در ابتدا، کاملاً از وضع قواعد روشن آیین دادرسی حمایت می‌کردیم. اما این پیشنهاد در آستانه تبدیل به بزرگ‌ترین آشفتگی قانون‌گذاری است که در طی یک مدت طولانی دیده‌ام. در حالی که شورای اتحادیه و پارلمان اروپا، به طور کلی، بر این باور بودند که پیشنهاد کمیسیون نیاز به تغییرات اساسی دارد، به نظر می‌رسد نه تنها مشکلات ساختاری را حل نکرده‌اند، بلکه عناصر پیچیده‌تر و بیشتری نیز به آن افزوده‌اند. پارلمان اروپا، کاملاً از تلاش برای ورود روش‌های آیین دادرسیِ آزمون‌شده، صرف‌نظر کرده است. نتیجه این اقدام، یک سیستم سنگین و انباشته‌شده است که روندها را حتی پیچیده‌تر و کندتر خواهد کرد. بسیاری از عناصر، از چنان کیفیت حقوقی پایینی برخوردارند که این قانون، نه ‌تنها مشکلات را حل نخواهد کرد، بلکه باعث ایجاد اختلافات بیشتر نیز خواهد شد.»

• اگر «همه ناراضی باشند»، نشانه موفقیت است؟

در حالی که بسیاری از جدال‌های سیاسی اروپا بین دو گروه ذینفع رخ می‌دهد، این پرونده، بیشتر نبرد بین کیفیت قانون‌گذاری و رویکردی بوده که نه عملی است و نه با اصول پایه‌ای آیین دادرسی همخوانی دارد.

با وجود هشدارهای مکرر کارشناسان، این پرونده، بارها و بارها، بدون توجه جدی به روند تصویب پیش رفته است. بسیاری از افراد، پشت درهای بسته اذعان کرده‌اند که متن تهیه‌شده، «فاجعه محض» است یا اینکه مذاکرات سه‌جانبه به جایی رسیده که قانون‌گذاری بیشتر شبیه «کارخانه سوسیس‌سازی» شده؛ یعنی بدون توجه به کیفیت، محصولی را بیرون می‌دهد!

هرچند بسیاری از بازیگران مشکلات را درک کرده‌اند، اما اقدام مؤثری صورت نگرفته است. تمایل کلی در بین مسئولان این است که «به هر شکلی که شده تصویب شود؛ فقط از روی میز من برداشته شود.»

مکس شرمز می‌گوید: «این مقررات، می‌توانست نقطه عطفی برای تحقق حقوق بنیادین مردم باشد، اما اکنون به نظر می‌رسد که هزاران ساعت از زمان نهادهای حفاظت از داده، که همین حالا هم بیش از حد کار دارند، با تحمیل مراحل بیهوده و بیش از حد پیچیده، هدر خواهد رفت؛ آنچه که به میلیون‌ها یورو از پول مالیات‌دهندگان مرتبط می‌شود. در عین حال، روندها، هم برای کسب‌وکارها و هم برای شهروندان، کندتر و پیچیده‌تر خواهد شد. اجرای حقوق GDPR نیز برای افراد عادی دشوارتر خواهد شد. شرکت‌ها هم با عدم قطعیت بیشتر حقوقی، تصمیمات نادرست‌تر و هزینه‌های حقوقی بالاتر، به خاطر کاغذبازی‌های اضافی و شکایت‌های اجباری، روبه‌رو خواهند شد.»

• رویکردهای قرون وسطایی، به‌جای حقوق طرفین

پیشنهاد اولیه کمیسیون اروپا، روح اقتدارگرایانه داشت. مقامات حفاظت از داده (DPA)، در کشور محل استقرار شرکت، مانند DPC ایرلند که به رسوایی معروف است، تا حد ممکن از الزام به همکاری با دیگر مقامات ملی و شنیدن صدای طرفین شکایت، محافظت شده بودند. به این ترتیب، قرار بود به تنهایی و بدون مزاحمت دیگران، رویه رسیدگی را پیش ببرند، اما این رویکرد در تضاد کامل با نظام اداری مدرن، کارآمد و شفاف است. دخیل کردن طرفین دعوی، از مراحل اولیه ضروری است تا بتوان به تصمیماتی رسید که هم از نظر واقعیات، صحیح و هم از نظر عمومی، مقبول باشند. در نهایت، شرکت‌ها بهتر از هرکس، از سازوکار سیستم‌های خود مطلع‌اند و شاکیان نیز دقیق‌تر از هرکس می‌دانند که مسئله آنها با GDPR چیست.

در مقابل، کمیسیون کل، این روند را دقیقاً مشابه رویکردهای قرون وسطی در قرن دوازدهم، بر پایه سیستم «بازجویی‌محور» طراحی کرده است. بسیاری از اسناد و تصمیم‌ها در این فرایند، قبل از انجام هرگونه تحقیق یا شنیدن نظرات طرفین صادر می‌شوند. به نظر می‌رسد بسیاری از مفاهیم، به‌ طور مستقیم از رویه‌های کم‌سرعت، پرخطا و مناقشه‌برانگیز کمیسیون حفاظت از داده ایرلند اقتباس شده‌اند؛ نهادی که بیشترین اختلاف‌ها را با دیگر مقامات حفاظت از داده داشته و روندهایش به کندی و بی‌نظمی مشهور هستند. هنوز مشخص نیست مفاد مربوطه در قانون پیشنهادی، به‌ویژه مواد ۹ تا ۱۷، چگونه با رویه‌های ملی مدرن، تعامل خواهند داشت. مقررات نیز به‌ درستی نحوه تعامل میان حقوق اتحادیه و قوانین ملی را تعریف نمی‌کند.

مکس شرمز می‌گوید: «رویکرد کمیسیون اروپا این بود که فرض کند مقامات حفاظت از داده، همه‌چیز را می‌دانند. کمیسیون به ‌جای شنیدن نظرات طرفین، همان‌طور که تقریباً در تمام کشورهای عضو اتحادیه اروپا معمول است، پیش‌بینی کرده بود صدای طرفین، تنها در پایان بررسی و در قالب «تصمیم اولیه» شنیده شود. بنابراین، حقوق طرفین به‌شدت محدود می‌شد. این رویکرد به ‌طور قطع، تصمیمات نادرست فراوانی به همراه دارد. در نهایت، شرکت‌ها و شاکیان، خودشان بهتر از هرکس، از واقعیت‌ها مطلع‌اند. لذا کاملاً نامعلوم است این مفاهیم، چگونه با قواعد آیین دادرسی ملی تعامل خواهند داشت؛ به‌ویژه وقتی ماده‌ای که قرار بود این موضوع را روشن کند، حذف شده است.»

• روندهای «سریع»: ۳ یا ۳۳ ماه؟

یکی از آخرین مسائل حل‌نشده در مذاکرات فعلی، مهلت‌های زمانی برای رسیدگی به پرونده‌هاست. تا کنون، DPAs  گزارش داده‌اند که به ‌طور میانگین، تصمیم‌گیری، حدود ۸ ماه طول می‌کشد. در کشورهایی که قبلا چنین مهلتی در قوانین داخلی خود داشته‌اند، میانگین، حدود ۴.۵ ماه است. بنابراین پیشنهاد پارلمان اروپا برای تعیین مهلت 3ماهه در پرونده‌های ساده و 9ماهه در موارد پیچیده، غیرمنطقی نبود. با این حال، گزارش‌ها حاکی است شورای اروپا پیشنهاد کرده مهلت صدور تصمیم تا ۳۳ ماه باشد!

هنوز توافقی حاصل نشده که آیا کاربران می‌توانند پرونده خود را در کشور محل اقامت‌شان مطرح کنند یا نه. در غیر این صورت، آنها باید برای رسیدگی به تأخیر، علیه DPA خارجی، در یک کشور دیگر اتحادیه اروپا شکایت کنند؛ کاری که عملاً برای بیشتر افراد، غیرممکن خواهد بود.

مکس شرمز می‌گوید: « مقامات حفاظت از داده گزارش داده‌اند که به ‌طور میانگین، روند رسیدگی، حدود ۸ ماه طول می‌کشد. برخی از پیشنهادهای کشورهای عضو، اما مهلت را تا ۳۳ ماه درنظر گرفته‌اند. این، نخستین باری است که امکان اعتراض به تأخیر، از طریق دادگاه فراهم می‌شود. البته خود این فرایند، ممکن است سال‌ها طول بکشد تا رأی نهایی درباره‌ شکایت از یک تأخیر صادر شود. در عمل، این اقدام به معنای ارائه مجوز بدون محدودیت به DPAs برای کش دادن روندها تا ابد است…»

• نبود دانش تخصصی در زمینه آیین دادرسی

یکی از دلایل ساختاری برای نتیجه‌ مشکوک این فرایند می‌تواند این باشد که کمیسیون اروپا، پارلمان و شورا، تقریباً هیچ‌گاه در زمینه تدوین قوانین آیین دادرسی تجربه نداشته‌اند. حقوق آیین دادرسی همچنان حوزه متعلق به کشورهای عضو است. تا کنون، اتحادیه اروپا هیچ قانون جامع و فراملی درباره‌ آیین دادرسی اداری تدوین نکرده است. حتی در خود کشورهای عضو نیز حقوق آیین دادرسی معمولاً توسط حقوقدانان متخصص در دانشکده‌های حقوق و واحدهای ویژه در وزارتخانه‌های دادگستری رسیدگی می‌شود.

در مجموع، به نظر می‌رسد این پیشنهاد، نیازمند آمادگی و سرمایه‌گذاری بسیار بیشتر است تا از وضعیت کنونی جلوگیری شود؛ وضعیتی که در آن قانون‌گذاران اتحادیه اروپا، مسئله را صرفاً به آینده موکول کرده‌اند؛ بدون اینکه راهکار واقعی ارائه دهند. (منبع:عصرارتباط)