Enligt den allmänna dataskyddsförordningen är det de nationella dataskyddsmyndigheternas ansvar att kontrollera efterlevnaden. Varje EES-land har sin egen oberoende dataskyddsmyndighet, som övervakar tillämpningen av GDPR, inklusive hantering av klagomål. För personuppgiftsbehandling som äger rum i mer än ett EES-land innehåller dataskyddsförordningen ett system för samarbete mellan de behöriga dataskyddsmyndigheterna, inom vilket de samarbetar för att nå samförstånd. Här finns en översikt över dataskyddsmyndigheterna.
GDPR ger registrerade vissa rättigheter, bland annat rätten att lämna in ett klagomål till den behöriga myndigheten när de befarar att deras dataskyddsrättigheter har kränkts.
Dataskyddsmyndigheternas uppgifter och befogenheter
Dataskyddsmyndigheternas uppgifter
Varje dataskyddsmyndighet i EES har ansvar för att övervaka och verkställa tillämpningen av dataskyddsförordningen och främja allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i samband med behandling av personuppgifter. Dataskyddsmyndigheterna har också till uppgift att ge råd till det nationella parlamentet, regeringen och andra institutioner och organ och att tillhandahålla information till enskilda personer om utövandet av deras rättigheter. Dataskyddsmyndigheterna främjar också de personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt den allmänna dataskyddsförordningen. Dataskyddsmyndigheterna hanterar klagomål från enskilda personer, genomför utredningar om korrekt tillämpning av dataskyddsförordningen och samarbetar med andra dataskyddsmyndigheter om tillämpningen av dataskyddsförordningen. Myndigheterna ansvarar också för följande:
- anta och godkänna standardavtalsklausuler,
- godkänna bindande företagsbestämmelser,
- godkänna uppförandekoder,
- uppmuntra inrättandet av certifieringsmekanismer för dataskydd,
- bidra till EDPB:s verksamhet.
- utföra andra uppgifter som rör skyddet av personuppgifter.
Läs mer
Dataskyddsmyndigheternas befogenheter
Enligt den allmänna dataskyddsförordningen har de nationella dataskyddsmyndigheternas verkställighetsbefogenheter ökat avsevärt. I artikel 58 i dataskyddsförordningen definieras var och en av dessa befogenheter genom att de delas upp i tre huvudgrupper:
- utredningsbefogenheter.
- korrigerande befogenheter.
- rådgivande befogenheter.
Utredningsbefogenheter
Dataskyddsmyndigheterna utövar sina utredningsbefogenheter för att avgöra om det föreligger en överträdelse av den allmänna dataskyddsförordningen, dess exakta omfattning och art. Bland annat kan dataskyddsmyndigheterna:
- Beordra organisationer att tillhandahålla all information som rör utredningen,
- Genomföra utredningar i form av tillsyner och underrätta organisationerna om en påstådd överträdelse av dataskyddsförordningen.
- Få tillgång till alla personuppgifter som innehas av en organisation och till all information som är nödvändig för att den ska kunna utföra sina uppgifter, inbegripet tillträde till någon av organisationens lokaler, inklusive all utrustning och medel för databehandling, i enlighet med EU:s processrätt och medlemsstaternas nationella processrätt.
- Genomföra en granskning av certifieringar som utfärdats enligt artikel 42.7 i GDPR
Korrigerande befogenheter
Om en överträdelse av dataskyddsförordningens bestämmelser konstateras som ett resultat av utredningen, eller om en behandling medför risk eller inte uppfyller särskilda krav, har dataskyddsmyndigheterna rätt att utöva en eller flera av sina korrigerande befogenheter, till exempel
- Varning eller förbud mot behandling: i händelse av befintliga risker kan dataskyddsmyndigheterna utfärda varningar till organisationer för att förhindra att deras behandling överträder bestämmelserna i den allmänna dataskyddsförordningen. Dataskyddsmyndigheterna får också besluta om en tillfällig eller slutgiltig begränsning, inbegripet ett förbud mot organisationers personuppgiftsbehandlingar, samt ålägga dem att ge information om de personuppgiftsincidenter som har inträffat till de berörda personerna.
- Regelefterlevnad: för att säkerställa efterlevnad av GDPR eller för att hantera fall där vissa kriterier eller krav inte är uppfyllda, har dataskyddsmyndigheterna befogenhet att beordra organisationer att uppfylla enskildas begäranden om att utöva sina rättigheter enligt GDPR. När så är lämpligt kan organisationer åläggas att anpassa sin behandling till bestämmelserna i GDPR på ett specificerat sätt och inom en angiven tidsperiod.
- Tillfälligt upphävande av dataflöden eller återkallande av certifiering: dataskyddsmyndigheterna kan också utöva sina befogenheter att avbryta alla dataflöden till mottagare i tredjeländer eller till internationella organisationer. Dessutom kan de återkalla en certifiering eller beordra ett certifieringsorgan att återkalla en utfärdad certifiering i enlighet med artiklarna 42 och 43 i GDPR. I fall där certifieringskraven inte uppfylls eller inte längre uppfylls, kan dataskyddsmyndigheten beordra certifieringsorganet att inte utfärda certifiering.
- Reprimander: vid konstaterade överträdelser kan dataskyddsmyndigheterna ge organisationen en reprimand.
- Administrativa sanktionsavgifter: Dataskyddsmyndigheterna kan också utfärda administrativa sanktionsavgifter som fastställs i enlighet med artikel 83 i den allmänna dataskyddsförordningen, utöver eller i stället för de andra åtgärder som anges ovan. Systemet med administrativa sanktionsavgifter kräver en bedömning från fall till fall av omständigheterna kring varje enskild överträdelse. Vid bedömningen bör hänsyn tas till faktorer såsom överträdelsens art, allvar och varaktighet, den avsiktliga eller vårdslösa karaktären, eventuella skadebegränsande åtgärder som kan ha genomförts, de tekniska och organisatoriska (dvs. säkerhets-) åtgärder som har genomförts och hur dataskyddsmyndigheten blev medveten om problemet.
Maxnivån för den potentiella påföljden beror på typen av överträdelse:
- sanktionsavgiften kan uppgå till högst 10 miljoner euro eller 2 % av den totala globala årsomsättningen under det föregående räkenskapsåret (t.ex. vid brott mot inbyggt dataskydd och dataskydd som standard, bristande efterlevnad av skyldigheten att ingå ett personuppgiftsbiträdesavtal eller underlåtenhet att genomföra en konsekvensbedömning avseende dataskydd eller att utse ett dataskyddsombud) enligt artikel 83.4 i GDPR. eller
- avgiften kan uppgå till högst 20 miljoner eller 4 % av den totala globala årsomsättningen under det föregående räkenskapsåret (t.ex. för brott mot de grundläggande principerna för behandling, för olaglig behandling av personuppgifter utan rättslig grund eller för brott mot registrerades rättigheter) enligt artikel 83.5 i dataskyddsförordningen.
Ni hittar mer information om administrativa sanktionsavgifter i samband med överträdelser av olika bestämmelser i GDPR i artikel 83 och i EDPB:s riktlinjer för beräkning av administrativa sanktionsavgifter enligt GDPR.
Rådgivande befogenheter
Varje dataskyddsmyndighet har en viss godkännande- och rådgivande roll enligt GDPR, genom vilken de kan ge stöd till organisationer och/eller ge tillstånd till specifika personuppgiftsbehandlingar. Några exempel är:
- Förhandssamråd: ge råd till personuppgiftsansvariga i enlighet med förfarandet för förhandssamråd enligt artikel 36 i dataskyddsförordningen.
- Yttranden om lagstiftningsverksamhet: antingen på eget initiativ eller på begäran avge yttranden till det nationella parlamentet, regeringen eller, i enlighet med nationell lagstiftning, till andra institutioner och organ samt till allmänheten i alla frågor som rör skyddet av personuppgifter.
- Uppförandekoder och certifiering: godkänna utkast till uppförandekoder, ackreditera certifieringsorgan eller utfärda certifieringar och godkänna certifieringskriterier.
Dataskyddsmyndigheternas utövande av ovan nämnda befogenheter omfattas av lämpliga skyddsåtgärder, såsom effektiva rättsmedel och rättssäkerhet, i enlighet med EU-lagstiftningen och nationell lagstiftning samt i enlighet med EU:s stadga om de grundläggande rättigheterna. Varje dataskyddsmyndighet har befogenhet att uppmärksamma de rättsliga myndigheterna på överträdelser av dataskyddsförordningen och, i förekommande fall, att inleda eller på annat sätt delta i rättsliga förfaranden för att verkställa bestämmelserna i dataskyddsförordningen. Ytterligare befogenheter kan ges till dataskyddsmyndigheterna genom deras nationella lagstiftning.
Läs mer
Samarbete och One-Stop-Shop
GDPR gäller i hela EES, med en och samma uppsättning dataskyddsregler för alla länder. Detta är till hjälp för internationella företag, men även för små och medelstora företag i deras strävan att utvecklas och växa genom att erbjuda sina tjänster i mer än ett EES-land.
För att minska den administrativa bördan vid behandling av personuppgifter i två eller flera EES-länder, innehåller dataskyddsförordningen ett system för samarbete mellan dataskyddsmyndigheterna – den så kallade ”one-stop-shop”-mekanismen, för att nå samförstånd mellan de många dataskyddsmyndigheterna.
Om en organisation behandlar uppgifter i två eller flera EES-länder ska den behöriga dataskyddsmyndighet som hanterar till exempel ett klagomål eller en personuppgiftsincident, vara den i det land där den personuppgiftsansvarige har sitt huvudsakliga verksamhetsställe. Detta gör det lättare för personuppgiftsansvariga eftersom de inte behöver följa de olika lagarna i varje land där de är verksamma. Dessutom behöver de bara interagera med en dataskyddsmyndighet. Beroende på er typ av verksamhet och vilka produkter och tjänster ni erbjuder kan gränsöverskridande behandling bli aktuellt även för ert företag. Många mindre företag, såsom nätbutiker, e-handelswebbplatser, mobil- och datorapplikationer erbjuder tjänster i flera länder.
Om ert företag behandlar uppgifter om enskilda personer i olika EES-länder är ni skyldiga att avgöra vilken som är behörig dataskyddsmyndighet eller ansvarig myndighet. Detta är vanligtvis den dataskyddsmyndighet som finns i det EES-land där er organisation har sitt huvudkontor och där beslut om ändamål och medel för behandling av personuppgifter fattas.
I praktiken
- Ett e-handelsföretag, till exempel, som säljer kläder via sina webbutiker till kunder i flera EES-länder, behandlar ofta personuppgifter. I ett sådant gränsöverskridande fall måste den behöriga myndigheten vara det land där e-handelsföretaget har sitt huvudsakliga verksamhetsställe (”huvudsakligt verksamhetsställe”).
När ni har bestämt vilken dataskyddsmyndighet som är ansvarig myndighet, behöver ni bara kommunicera med den. Den ansvariga dataskyddsmyndigheten samarbetar och deltar i diskussioner med andra berörda dataskyddsmyndigheter inom EES.
Om ett klagomål med ett gränsöverskridande inslag måste hanteras inom ramen för samarbetet med en annan dataskyddsmyndighet ska följande samarbetsåtgärder vidtas:
- Om en annan dataskyddsmyndighet mottog klagomålet är den skyldig att informera den ansvariga dataskyddsmyndigheten om ärendet.
- Den andra, berörda dataskyddsmyndigheten får delta i utarbetandet av ett beslut om klagomålet.
- Vid utarbetandet av ett beslut måste den ansvariga dataskyddsmyndigheten ta hänsyn till den berörda dataskyddsmyndighetens yttrande.
Fastställande av ansvarig dataskyddsmyndighet
Nyckelbegrepp
Gränsöverskridande behandling av personuppgifter
Enligt GDPR är identifiering av en ansvarig dataskyddsmyndighet endast relevant för organisationer som utför gränsöverskridande behandling av personuppgifter.
I dataskyddsförordningen definieras ”gränsöverskridande behandling” som antingen
- behandling av personuppgifter som äger rum i mer än ett EES-land när den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerat i mer än ett EES-land, eller
- behandling av personuppgifter som äger rum vid ett enda verksamhetsställe i en organisation inom EES men som i väsentlig grad påverkar eller sannolikt kommer att påverka enskilda personer i mer än ett EES-land.
I praktiken
- Detta innebär att om en organisation till exempel har kontor i Tyskland och Kroatien och behandlingen av personuppgifter sker inom ramen för deras verksamhet, kommer detta att utgöra gränsöverskridande behandling.
- Alternativt kan organisationen endast ha ett etableringsställe i Tyskland. Men om dess behandling av personuppgifter i väsentlig grad påverkar – eller sannolikt kommer att påverka – enskilda personer i Tyskland och Kroatien kommer detta också att utgöra gränsöverskridande behandling.
Vad betyder ”i väsentlig grad påverkar”?
Det faktum att en organisation behandlar enskildas personuppgifter i flera EES-länder – även om det handlar om en stor mängd uppgifter - innebär inte nödvändigtvis att behandlingen väsentligt påverkar, eller sannolikt kommer att väsentligt påverka, de registrerade. Behandling som påverkar registrerade endast i mindre grad utgör inte gränsöverskridande behandling, oavsett hur många personer den påverkar.
Dataskyddsmyndigheterna kommer att tolka ”i väsentlig grad påverkar” från fall till fall. De kommer att ta hänsyn till behandlingens sammanhang, typen av uppgifter, behandlingens syfte och faktorer såsom huruvida behandlingen:
- orsakar, eller sannolikt kommer att orsaka, skada, förlust eller större besvär för individer;
- har, eller sannolikt kommer att ha, en faktisk effekt när det gäller att begränsa enskildas rättigheter eller att gå miste om en möjlighet,
- påverkar, eller sannolikt kommer att påverka individers hälsa, välbefinnande eller sinnesfrid;
- påverkar eller sannolikt kommer att påverka enskilda personers finansiella eller ekonomiska ställning eller förutsättningar,
- utsätter enskilda personer för risk för diskriminering eller orättvis behandling,
- omfattar analys av särskilda kategorier av personuppgifter eller andra integritetskränkande uppgifter, särskilt barns personuppgifter,
- får, eller sannolikt kommer att få, enskilda personer att ändra sitt beteende på ett betydande sätt,
- har osannolika, oförutsedda eller oönskade konsekvenser för enskilda personer,
- syftar till att skämma ut någon eller leder till eller andra negativa resultat, såsom skadat anseende, eller innebär behandling av ett brett spektrum av personuppgifter.
Ansvarig dataskyddsmyndighet
Enkelt uttryckt är en ansvarig dataskyddsmyndighet den dataskyddsmyndighet som har det primära ansvaret för att hantera en gränsöverskridande uppgiftsbehandling, till exempel när en enskild lämnar in ett klagomål om behandlingen av sina personuppgifter. Den ansvariga dataskyddsmyndigheten kommer att samordna alla utredningar och samarbeta med andra berörda dataskyddsmyndigheter. För att bestämma vem som är den ansvariga dataskyddsmyndigheten måste man se till var den personuppgiftsansvariges ”huvudsakliga verksamhetsställe” eller ”enda verksamhetsställe” i EU finns.
Om en organisation är etablerad i endast ett EES-land har den ett enda verksamhetsställe i EES och dataskyddsmyndigheten i det landet kommer att vara den ansvariga dataskyddsmyndigheten.
Om en organisation är etablerad i mer än ett EES-land är det nödvändigt att fastställa dess huvudsakliga verksamhetsställe, för att kunna bestämma vilken den ansvariga dataskyddsmyndigheten är.
Läs mer
Huvudsakligt verksamhetsställe
För att fastställa var det huvudsakliga verksamhetsstället ligger är det först nödvändigt att fastställa var organisationens centrala administration finns inom EES (”den centrala förvaltningens plats; huvudkontoret), i förekommande fall. Detta är den plats där beslut om ändamål och medel för behandlingen av personuppgifter fattas.
I de fall där beslut som rör olika gränsöverskridande behandlingsaktiviteter fattas inom den centrala förvaltningen kommer det att finnas en enda ansvarig dataskyddsmyndighet inom EES för de olika personuppgiftsbehandlingar som utförs av det multinationella företaget. Det kan dock finnas fall där ett annat verksamhetsställe än den centrala förvaltningen fattar självständiga beslut om ändamålen med och medlen för en viss behandling. I dessa situationer kommer det att vara viktigt för företag att exakt fastställa var besluten om ändamål och behandlingsmetoder fattas. Korrekt identifiering av det huvudsakliga verksamhetsstället ligger i personuppgiftsvarigas och personuppgiftsbiträdenas intresse, eftersom det ger klarhet i vilken dataskyddsmyndighet de ska ha kontakt med i fråga om sina olika skyldigheter att efterleva dataskyddsförordningen.
Läs mer
I praktiken
- En klädåterförsäljare har sitt huvudkontor (dvs. ”platsen för central förvaltning”) i Sofia, Bulgarien. Återförsäljaren har verksamhetsställen i olika andra EES-länder, som är i kontakt med enskilda personer där. Alla verksamhetsställen använder samma programvara för att behandla kundernas personuppgifter i marknadsföringssyfte. Alla beslut om ändamål och medel för behandling av kunders personuppgifter i marknadsföringssyfte fattas vid dess huvudkontor i Sofia. Detta innebär att ansvarig dataskyddsmyndighet för denna gränsöverskridande behandling är den bulgariska dataskyddsmyndigheten.
Organisationer som inte är etablerade inom EES
Om er organisation inte är etablerad inom EES, men omfattas av GDPR eftersom den faller inom det territoriella tillämpningsområdet för GDPR, kan den behöva utse en företrädare i ett av EES-länderna.
Enbart närvaron av en företrädare i något av EES-länderna leder dock inte till att systemet med ”one-stop-shop”-mekanismen triggas. Detta innebär att organisationer utan någon etablering inom EES måste ha kontakt med lokala dataskyddsmyndigheter i varje EES-land de är verksamma i, genom sin lokala företrädare.
Läs mer
Europeiska dataskyddsstyrelsens roll
EDPB är ett oberoende europeiskt organ med status som juridisk person som bidrar till en enhetlig tillämpning av dataskyddsreglerna i hela EES och främjar samarbete mellan dataskyddsmyndigheterna i EES. EDPB består av cheferna för dataskyddsmyndigheterna och Europeiska datatillsynsmannen eller deras företrädare.
I EDPB arbetar dataskyddsmyndigheterna tillsammans för att
- ge allmän vägledning (inklusive riktlinjer, yttranden, rekommendationer och bästa praxis) om dataskyddslagstiftningen, särskilt dataskyddsförordningen,
- ge EU-kommissionen råd i alla frågor som rör skyddet av personuppgifter och ny lagstiftning i EU,
- anta enhetliga beslut och yttranden i gränsöverskridande dataskyddsärenden.
I stället för att besvara specifika frågor från enskilda utfärdar EDPB allmän vägledning.
Europeiska dataskyddsstyrelsen har antagit flera riktlinjer som är direkt relevanta för företag, däribland små och medelstora företag. Dessa riktlinjer klargör olika begrepp i GDPR, såsom grundläggande principer för behandling, inbyggt dataskydd och dataskydd som standard, internationella dataöverföringar och registrerades rättigheter. Här hittar du en översikt över dessa dokument.
EDPB som enhetlighetsmekanism
Mekanismen för enhetlighet kan ha en direkt inverkan på små och medelstora företag. I första hand kan mekanismen för enhetlighet utlösas när den ansvariga dataskyddsmyndigheten och de berörda dataskyddsmyndigheterna inte kan nå konsensus i ett specifikt gränsöverskridande fall. I sådana fall kommer ärendet att hänskjutas till EDPB som kommer att anta ett bindande beslut för att lösa tvisten.
Dessutom avger EDPB gemensamma yttranden över vissa utkast till beslut som utarbetats av dataskyddsmyndigheterna i EES, och som har gränsöverskridande effekter (t.ex. om en ny uppsättning standardavtalsklausuler eller om uppförandekoder).
EDPB kan också avge gemensamma yttranden i alla frågor med allmän tillämpning av dataskyddsförordningen, eller alla frågor som har effekt i mer än ett EES-land. Detta arbete syftar till att säkerställa att GDPR tolkas och tillämpas enhetligt i olika EES-länder.