ROLLER i GDPR
Nasjonale tilsynsmyndigheter
Nasjonale reguleringsmyndigheter har flere fullmakter. Dette følger av artikkel 50 i GDPR.
Nasjonale tilsynsmyndigheter utgir publikasjoner og anbefalinger om GDPR
GDPR er et omfattende sett med regler, og konsekvensene kan være ødeleggende for selskaper som bryter det. Det er mye informasjon og regler for bedrifter og deres ansatte å holde styr på. Nasjonale tilsynsmyndigheter kan ofte finne verdifull informasjon om GDPR. Disse inkluderer anbefalinger og publikasjoner utstedt av nasjonale tilsynsmyndigheter for å lette forståelsen av GDPR og bidra til å tolke regelverket.
Nasjonale tilsynsmyndigheters myndighet (artikkel 58 GDPR)
Reprimandere
En reprimande er en formell advarsel som en tilsynsmyndighet kan avgjøre, for eksempel i tilfelle en mindre alvorlig overtredelse av GDPR. Det er en mildere straff enn bøter eller forbud.
Straffegebyr
En bot er en bot som kan ilegges av en tilsynsmyndighet for brudd på GDPR. Det kan være opptil 20 millioner euro eller 4 % av den globale årsomsetningen (den høyeste av alternativene). Vær oppmerksom på at det ikke er de registrerte som mottar pengene fra boten, men heller summen må betales til staten.
Forbud mot
En tilsynsmyndighet kan bestemme at behandlingen av personopplysninger skal opphøre, og at selskapet ikke skal utføre slik behandling.
Utfordre en avgjørelse av en nasjonal tilsynsmyndighet før en domstol
Det er mulig for et selskap å utfordre en avgjørelse av en tilsynsmyndighet før en domstol. Det kan da ankes i de ulike tilfellene opp til Høyesterett, dersom retten velger å behandle saken. I tillegg kan Høyesterett be om en uttalelse fra EU-kommisjonen hvis de er usikre på avgjørelsen.
Forutgående konsultasjon før visse behandlingsoperasjoner
For visse behandlingsaktiviteter kan et selskap måtte be om forhåndskonsultasjon med den nasjonale databeskyttelsesmyndigheten før den forespurte behandlingen utføres. Vær oppmerksom på at selskapet må gjennomføre en konsekvensanalyse først. I tillegg skal konsekvensutredningen være godt dokumentert. Deretter kan det være nødvendig for foretaket å anmode om forutgående samråd med den nasjonale tilsynsmyndigheten dersom risikoen for enkeltpersoners rettigheter og friheter fortsatt er høy.
Representanter for de nasjonale tilsynsmyndighetene i Personvernrådet
Alle nasjonale databeskyttelsesmyndigheter i EU/EØS har ett medlem av European Data Protection Board. Det er vanligvis den nasjonale tilsynsmyndigheten som representerer landet i styret. Personvernrådet er et uavhengig organ som blant annet gir veiledning til nasjonale myndigheter og arbeider for at GDPR skal gjelde på samme måte i alle land i EU.
Hvis en registrert person ønsker å få erstatning for brudd på GDPR
Hvis en registrert anser at et selskap, en organisasjon eller et offentlig organ har brutt GDPR og ønsker å kreve erstatning, må den registrerte saksøke selskapet i henhold til sivilrett. En tilsynsmyndighet representerer ikke registrerte i sivile saker. Videre må den registrerte selv være ansvarlig for og betale advokathonorarer og lignende utgifter som følge av saken.
Det kan imidlertid være fordelaktig for en registrert i en sivil sak mot et selskap, dersom det aktuelle selskapet har mottatt en dom eller beslutning om brudd på GDPR fra den nasjonale tilsynsmyndigheten.
Domstolen avgav sin uttalelse i en sak som nådde Bulgarias høyeste forvaltningsdomstol
I Bulgaria var det et cyberattack på skattemyndigheten som brakte personopplysningene til millioner av mennesker på nettet. Følgelig valgte en rekke personer hvis personopplysninger var gjenstand for bruddet på personopplysningssikkerheten å saksøke skattemyndigheten. Kravet søkte erstatning for ikke-materiell skade forårsaket av brudd på personopplysninger.
Bulgarias øverste forvaltningsdomstol henviste et spørsmål til domstolen for en foreløpig avgjørelse. EU-domstolen fant at en frykt for et mulig misbruk av personopplysninger i fremtiden kan utgjøre ikke-materiell skade. Som et resultat kan det være mulig å få skader. Vær imidlertid oppmerksom på at frykten må være velbegrunnet.
En nasjonal tilsynsmyndighet kan ha flere oppgaver
Det er mulig for en nasjonal tilsynsmyndighet å jobbe på flere områder enn bare GDPR. For eksempel videoovervåkning, som også er dekket av GDPR, men som kan være regulert i andre lover og kan kreve autorisasjon for å bli utført. I Sverige er det for eksempel den nasjonale GDPR-tilsynsmyndigheten som også tar beslutninger om videoovervåking.
Uavhengig tilsynsmyndighet
En ting som EU-kommisjonen legger særlig vekt på når de avgjør om et tredjeland har et tilstrekkelig beskyttelsesnivå, er nettopp om det aktuelle landet har en uavhengig nasjonal tilsynsmyndighet.
Hvis et tredjeland (dvs. et land utenfor EU / EØS) sikrer et tilstrekkelig beskyttelsesnivå, er det tillatt å overføre personopplysninger der uten å måtte ta spesifikke sikkerhetstiltak eller få autorisasjon. På den annen side er det ikke et selskap som kan avgjøre om et land har et tilstrekkelig beskyttelsesnivå, da bare EU-kommisjonen bestemmer seg for dette.
Ved vurderingen vil EU-kommisjonen blant annet vurdere om landet har en uavhengig nasjonal tilsynsmyndighet for å håndtere databeskyttelsesspørsmål, hvilke juridiske muligheter de registrerte har, om landet respekterer menneskerettighetene, etc. Vær oppmerksom på at for eksempel en region eller stat kan ha et tilstrekkelig beskyttelsesnivå. Det trenger med andre ord ikke nødvendigvis å være et helt land som vedtaket gjelder for.
Grenseoverskridende behandling av personopplysninger
Når behandlingen av personopplysninger er knyttet til to eller flere land i EU, er det en grenseoverskridende behandling av personopplysninger. Det kan være at selskapet opererer i flere land og sender personopplysninger til hovedkontoret i et av landene for administrasjon. Et annet eksempel kan være tilfeller der behandling av personopplysninger i en bestemt stat er svært sannsynlig eller i vesentlig grad påvirker registrerte i to eller flere medlemsstater.
Tilsynsmyndighet dersom et selskap er aktivt i flere EU-land
Selskaper bør som hovedregel bare forholde seg til en tilsynsmyndighet i ett land. Det spiller ingen rolle om selskapet er en kontroller eller prosessor. For eksempel trenger ikke selskapet å varsle datainnbrudd som involverer personopplysninger i flere land til databeskyttelsesmyndigheten i hvert land, men bare til selskapets ledende tilsynsmyndighet. Det er derfor viktig å vite hvem det er. Det er tilsynsmyndigheten i det landet der selskapet har sitt hovedforetak.
Datasubjekter trenger ikke å vite hvem som er LSA
I motsetning til dette kan registranter sende inn en melding om brudd på GDPR til sin egen nasjonale tilsynsmyndighet som ligger i bostedslandet. De registrerte er dermed ikke pålagt å sende meldingen til selskapets ledende tilsynsmyndighet. Tilsynsmyndighetene i Unionen samarbeider og vil overføre saken til den mest hensiktsmessige tilsynsmyndigheten i saken.
Mer enn én tilsynsmyndighet kan føre tilsyn med
Det er ikke uvanlig at nasjonale tilsynsmyndigheter i flere stater i Unionen samarbeider og gjennomfører målrettet tilsyn sammen. Mange av dagens virksomheter er internasjonale og behandler personopplysninger om personer som befinner seg i flere EU/EØS-land.
Ved et slikt internasjonalt selskaps brudd på personopplysningssikkerheten kan datasubjekter fra flere land bli berørt av bruddet. I slike tilfeller kan det være at én veileder fører tilsynet, mens veiledere fra de andre landene gir sitt syn på saken. Vær oppmerksom på at de ulike tilsynsmyndighetene kanskje ikke er enige om for eksempel størrelsen på en bot. Til tross for dette er det tilsynsmyndigheten som tar den endelige avgjørelsen.
Mer om Rullene
Behandlingsansvarlige i henhold til GDPR
Det er den behandlingsansvarlige som bestemmer formålet og midlene for behandlingen, og som er ansvarlig for behandlingen av personopplysninger. Det er ikke en leder eller ansatt i selskapet, men selskapet selv som spiller denne rollen. Med andre ord, aksjeselskapet, ansvarlig selskap, det europeiske selskapet, etc. På den annen side kan kontrolløren i visse tilfeller være en enkeltperson. For eksempel, hvis det er en eneste næringsdrivende, eller en privatperson som har installert et overvåkingskamera som filmer en offentlig vei. Den behandlingsansvarlige må blant annet vise samsvar med GDPR. Dette inkluderer besittelse av passende avtaler og dokumenter knyttet til GDPR.