Roller i GDPR
De nationale tilsynsmyndigheder
De nationale tilsynsmyndigheder har flere forskellige beføjelser. Disse er fastsat i databeskyttelsesforordningens artikel 50.
De nationale tilsynsmyndigheder offentliggør publikationer og fremsætter anbefalinger vedrørende GDPR
GDPR er en omfattende forordning, og konsekvenserne kan være ødelæggende for virksomheder, der overtræder forordningen. Der er en masse information og regler for virksomheder og deres medarbejdere at holde styr på. De nationale tilsynsmyndigheder kan ofte finde værdifulde oplysninger om GDPR. Disse omfatter henstillinger og publikationer fra de nationale tilsynsmyndigheder for at lette forståelsen af GDPR og bidrage til fortolkningen af de lovgivningsmæssige rammer.
De nationale tilsynsmyndigheders beføjelser (artikel 58 i GDPR)
Irettesættelse
En irettesættelse er en formel advarsel, som en tilsynsmyndighed kan træffe afgørelse om, f.eks. hvis den vedrører en overtrædelse af GDPR, der ikke er så alvorlig. Det er en mildere straf end en bøde eller et forbud.
Straf
En bøde er en bøde, som en tilsynsmyndighed kan pålægge i tilfælde af overtrædelse af GDPR. Dette kan beløbe sig til højst 20 mio. EUR eller 4 % af den globale årlige omsætning (den højeste af mulighederne). Bemærk, at det ikke er de registrerede personer, der modtager pengene fra bøden, men i stedet skal beløbet betales til staten.
Forbud
En tilsynsmyndighed kan beslutte, at behandlingen af personoplysninger skal ophøre, og at virksomheden ikke må foretage en sådan behandling.
Appel af en afgørelse truffet af en national tilsynsmyndighed ved en domstol
Det er muligt for en virksomhed at appellere en afgørelse truffet af en tilsynsmyndighed til en domstol. Det kan derefter appelleres i de forskellige instanser op til Højesteret, hvis retten vælger at tage sagen. Desuden kan højesteret anmode om en udtalelse fra Europa-Kommissionen, hvis de er i tvivl om deres afgørelse.
Forudgående høring forud for visse former for behandling af personoplysninger
I forbindelse med visse behandlingsaktiviteter kan det være nødvendigt for en virksomhed at anmode om en forudgående høring af den nationale databeskyttelsesmyndighed, inden den ønskede behandling gennemføres. Bemærk, at virksomheden først skal foretage en konsekvensanalyse. Desuden skal konsekvensanalysen være veldokumenteret. Derefter kan virksomheden være nødt til at anmode om en forudgående høring af den nationale tilsynsmyndighed, hvis risikoen for fysiske personers rettigheder og frihedsrettigheder fortsat er høj.
Repræsentanter for de nationale tilsynsmyndigheder for Det Europæiske Databeskyttelsesråd
Alle nationale databeskyttelsesmyndigheder i EU/EØS-området har ét medlem i Det Europæiske Databeskyttelsesråd. Det er normalt den nationale tilsynsmyndighed, der repræsenterer landet i rådet. Det Europæiske Databeskyttelsesråd er et uafhængigt organ, der bl.a. udstikker retningslinjer til de nationale myndigheder og arbejder for at sikre, at GDPR anvendes på samme måde i alle lande i Unionen.
Hvis en registreret ønsker at modtage erstatning for overtrædelse af GDPR
Hvis en registreret mener, at en virksomhed, organisation eller et offentligt organ har overtrådt GDPR og ønsker at kræve erstatning, skal den registrerede anlægge et civilt søgsmål mod virksomheden. En tilsynsmyndighed repræsenterer ikke registrerede i civile sager. Desuden skal den registrerede være ansvarlig for og betale sine advokatsalærer og lignende omkostninger på grund af selve sagen.
Det kan dog være en fordel for en registreret i en civil sag mod en virksomhed, hvis den pågældende virksomhed har modtaget en dom eller afgørelse vedrørende overtrædelsen af GDPR fra den nationale tilsynsmyndighed.
Den Europæiske Unions Domstol afgav udtalelse i en sag, der nåede frem til den øverste forvaltningsdomstol i Bulgarien.
I Bulgarien var der et cyberangreb mod skattemyndighederne, som resulterede i, at personoplysninger om millioner af mennesker endte på internettet. En række personer, hvis personoplysninger var genstand for bruddet på persondatasikkerheden, valgte derfor at anlægge sag mod skattemyndigheden. Kravet vedrørte erstatning for immateriel skade forårsaget af bruddet på persondatasikkerheden.
Bulgariens øverste forvaltningsdomstol har forelagt Den Europæiske Unions Domstol et præjudicielt spørgsmål. EU-Domstolen fandt, at en frygt for et eventuelt misbrug af personoplysninger i fremtiden kan udgøre immateriel skade. Det kan således være muligt at opnå erstatning. Bemærk dog, at frygten skal være velbegrundet.
En national tilsynsmyndighed kan udføre flere opgaver:
Det er muligt for en national tilsynsmyndighed at arbejde på flere områder end blot GDPR. F.eks. kameraovervågning, som også er omfattet af GDPR, men som kan reguleres i andre love og kræver tilladelse. I Sverige er det f.eks. den nationale tilsynsmyndighed for GDPR, der også træffer beslutninger om kameraovervågning.
Uafhængig tilsynsmyndighed
En ting, som Europa-Kommissionen lægger særlig vægt på, når den afgør, om et tredjeland har et tilstrækkeligt beskyttelsesniveau, er netop, om det pågældende land har en uafhængig national tilsynsmyndighed.
Hvis et tredjeland (dvs. et land uden for EU/EØS) har et tilstrækkeligt beskyttelsesniveau, er det tilladt at overføre personoplysninger der uden at skulle træffe særlige sikkerhedsforanstaltninger eller indhente tilladelse. Det er imidlertid ikke en virksomhed, der kan afgøre, om et land har et tilstrækkeligt beskyttelsesniveau, da det kun er Europa-Kommissionen, der træffer afgørelse herom.
Ved vurderingen ser Europa-Kommissionen bl.a. på, om landet har en uafhængig national tilsynsmyndighed til at håndtere databeskyttelsesspørgsmål, hvilke juridiske muligheder registrerede har, om landet respekterer menneskerettighederne osv. Bemærk venligst, at f.eks. en region eller stat kan have et tilstrækkeligt beskyttelsesniveau. Med andre ord behøver det ikke nødvendigvis at være et helt land i sig selv, som afgørelsen omfatter.
Grænseoverskridende behandling af personoplysninger
Når behandlingen af personoplysninger vedrører to eller flere lande inden for EU, er der tale om en grænseoverskridende behandling af personoplysninger. Det kan være, at virksomheden opererer i flere lande og sender personoplysninger til hovedkontoret i et af landene til administration. Et andet eksempel kunne være, hvis behandlingen af personoplysninger i et bestemt land er højst sandsynlig eller i væsentlig grad vil påvirke registrerede i to eller flere medlemsstater.
Tilsynsmyndigheden, hvis en virksomhed opererer i flere EU-lande
Som hovedregel bør virksomheder kun have kontakt med en tilsynsmyndighed i ét land. Det er ligegyldigt, om virksomheden er dataansvarlig eller databehandler. For eksempel behøver virksomheden ikke at rapportere et brud på persondatasikkerheden, der involverer personoplysninger i flere lande, til databeskyttelsesmyndigheden i hvert land, men kun til virksomhedens ledende tilsynsmyndighed. Derfor er det vigtigt at vide, hvilken en det er. Det er tilsynsmyndigheden i det land, hvor virksomheden har sit hovedforretningssted.
Registrerede behøver ikke at vide, hvilken ledende tilsynsmyndighed der er ansvarlig
Registrerede kan dog indgive en anmeldelse af en overtrædelse af GDPR til deres egen nationale tilsynsmyndighed i deres bopælsland. Registrerede behøver ikke at indgive en anmeldelse til virksomhedens ledende tilsynsmyndighed. Tilsynsmyndighederne i Unionen samarbejder og vil overføre sagen til den mest hensigtsmæssige tilsynsmyndighed i sagen.
Flere tilsynsmyndigheder kan føre tilsyn
Det er ikke usædvanligt, at de nationale tilsynsmyndigheder i flere lande i Unionen samarbejder og udfører målrettet tilsyn sammen. Mange af nutidens virksomheder er internationale og behandler personoplysninger om personer, der befinder sig i flere lande inden for EU/EØS-området.
Hvis der sker et brud på persondatasikkerheden hos en sådan international virksomhed, kan registrerede fra flere lande blive berørt af bruddet. I sådanne tilfælde kan det være, at en tilsynsmyndighed udfører tilsynet, mens tilsynsmyndigheder fra de andre lande fremsætter deres synspunkter om sagen. Bemærk venligst, at forskellige tilsynsmyndigheder muligvis ikke er enige om f.eks. bødens størrelse. Uanset dette er det den tilsynsmyndighed, der er ansvarlig for sagen, der træffer den endelige afgørelse.
Læs mere om Roller
Dataansvarlige i henhold til GDPR
Det er den dataansvarlige, der bestemmer formålet med og hjælpemidlerne til behandlingen og er ansvarlig for behandlingen af personoplysninger. Det er ikke en leder eller medarbejder i virksomheden, men virksomheden selv, der har denne rolle. Det vil sige aktieselskabet, handelsselskabet, det europæiske selskab osv. Det kan dog i visse tilfælde være en fysisk person, der er dataansvarlig. For eksempel, hvis det er en enkeltmandsvirksomhed eller en privatperson, der har installeret et overvågningskamera, der filmer en offentlig vej. Den dataansvarlige skal bl.a. dokumentere overholdelse af GDPR. Det betyder blandt andet at have passende GDPR-relaterede aftaler og dokumenter.