GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Roller i GDPR

Nationella Tillsynsmyndigheter

Nationella tillsynsmyndigheter har flera olika befogenheter. Dessa framgår i artikel 50 i GDPR. 

Nationella tillsynsmyndigheter utger publikationer och ger rekommendationer gällande GDPR

GDPR är ett omfattande regelverk och konsekvenserna kan bli förödande för företag som bryter mot förordningen. Det är mycket information och många regler för företagen och dess medarbetare att hålla reda på. Hos de nationella tillsynsmyndigheterna kan de ofta hitta värdefull information om GDPR. Bland annat rekommendationer och publikationer som de nationella tillsynsmyndigheterna ger ut för att underlätta förståelsen av GDPR och hjälpa till att tolka regelverket. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Befogenheter som nationella tillsynsmyndigheter har (artikel 58 GDPR)

It may be possible for data subjects to claim damages

Reprimand

En reprimand är en formell varning som en tillsynsmyndighet kan besluta om, till exempel om det rör sig om en överträdelse av GDPR som inte är så allvarlig. Det är en mildare påföljd än sanktionsavgift eller ett förbud.

Sanktionsavgift

En sanktionsavgift är en böter som en tillsynsmyndighet kan utfärda vid överträdelser av GDPR. Det kan uppgå till max 20 miljoner euro eller 4 % av den globala årsomsättningen (det högsta av alternativen). Observera att det inte är de registrerade som får pengarna från sanktionsavgiften, utan istället ska summan betalas till staten.

Periodic penalty payments

Förbud

En tillsynsmyndighet kan besluta att en behandling av personuppgifter måste upphöra och att företaget inte får utföra en sådan behandling.

Överklaga beslut från en nationell tillsynsmyndighet till domstol

Det är möjligt för ett företag att överklaga ett beslut från en tillsynsmyndighet till domstol. Därefter kan det överklagas i de olika instanserna upp till Högsta domstolen, om domstolen väljer att ta sig an ärendet. Dessutom kan den Högsta domstolen begära ett yttrande från EU-kommissionen, om de är osäkra på sitt beslut. 

Förhandssamråd inför viss behandling av personuppgifter

Ett företag kan vid vissa behandlingar behöva begära ett förhandssamråd med den nationella dataskyddsmyndigheten, innan önskad behandling blir utförd. Observera att företaget måste göra en konsekvensbedömning först. Dessutom ska konsekvensbedömningen vara väldokumenterad. Därefter kan företaget behöva begära ett förhandssamråd med den nationella tillsynsmyndigheten, om risken för de enskildas fri- och rättigheter fortfarande är hög. 

Representanter för de nationella tillsynsmyndigheterna i den Europeiska dataskyddsstyrelsen

Alla nationella dataskyddsmyndigheter inom EU/EES-området har en ledamot i den Europeiska dataskyddsstyrelsen. Det brukar vara den nationella tillsynsmyndigheten som företräder landet i styrelsen. Europeiska dataskyddsstyrelsen är ett oberoende organ som bland annat ger riktlinjer till de nationella myndigheterna och arbetar för att GDPR ska tillämpas på samma sätt i alla länder inom unionen. 

Om en registrerad vill få skadestånd vid överträdelser av GDPR

Om en registrerad anser att ett företag, organisation eller offentligt organ har brutit mot GDPR och vill begära skadestånd, behöver den registrerade väcka talan mot företaget civilrättsligt. En tillsynsmyndighet företräder nämligen inte de registrerade i civilrättsliga mål. Vidare behöver den registrerade ansvara för och betala sina advokatkostnader och liknande kostnader på grund av ärendet själv. 

Det kan dock vara till fördel för en registrerad i ett civilrättsligt mål mot ett företag, om företaget i fråga har fått en dom eller ett beslut gällande överträdelsen av GDPR från den nationella tillsynsmyndigheten.

EU-domstolen gav sitt yttrande i ett fall som nådde den Högsta förvaltningsdomstolen i Bulgarien

I Bulgarien skedde det en cyberattack hos skattemyndigheten som innebar att personuppgifter tillhörande miljoner människor hamnade på internet. Ett flertal personer, vars personuppgifter blev föremål för personuppgiftsincidenten, valde därför att stämma skattemyndigheten. Yrkandet gällde ersättning för ideell skada som personuppgiftsincidenten orsakat.

Den högsta förvaltningsdomstolen i Bulgarien begärde ett förhandsavgörande från EU-domstolen. EU-domstolen konstaterade att en fruktan för ett eventuellt missbruk av personuppgifter i framtiden kan utgöra en immateriell skada. Därmed kan det vara möjligt att få skadestånd. Observera dock att fruktan måste vara välgrundad. 

En nationell tillsynsmyndighet kan ha flera arbetsuppgifter

Det är möjligt för en nationell tillsynsmyndighet att arbeta inom fler områden än bara GDPR. Till exempel kameraövervakning som också omfattas av GDPR, men som kan vara reglerad i andra lagar och kräva tillstånd för att få bli utförd. I till exempel Sverige är det den nationella tillsynsmyndigheten för GDPR som också fattar beslut gällande kameraövervakning. 

Oberoende tillsynsmyndighet

En sak som EU-kommissionen särskilt tittar på när de beslutar om ett tredjeland har adekvat skyddsnivå eller inte, är just ifall landet i fråga har en oberoende nationell tillsynsmyndighet.

Om ett tredjeland (det vill säga, ett land utanför EU/EES-området) har en adekvat skyddsnivå, är det tillåtet att överföra personuppgifter dit utan att behöva vidta några särskilda säkerhetsåtgärder eller få tillstånd. Däremot är det inte ett företag som kan avgöra huruvida ett land har en adekvat skyddsnivå eller inte, eftersom det enbart är EU-kommissionen som beslutar om detta. 

När EU-kommissionen gör bedömningen, tittar de bland annat på om landet har en oberoende nationell tillsynsmyndighet för hantering av frågor kring dataskydd, vilka rättsliga möjligheter som registrerade har, huruvida landet respekterar mänskliga rättigheter m.m. Observera att till exempel en region eller delstat kan ha adekvat skyddsnivå. Med andra ord behöver det nödvändigtvis inte vara ett helt land i sig som beslutet omfattar. 

Gränsöverskridande personuppgiftsbehandling

När en behandling av personuppgifter har anknytning till två eller fler länder inom EU, är det fråga om en gränsöverskridande personuppgiftsbehandling. Det kan vara så att företaget är verksamt i flera länder och skickar personuppgifter till huvudkontoret som ligger i ett av länderna för administration. Ett annat exempel kan vara om behandlingen av personuppgifter i ett specifikt land med stor sannolikhet eller i väsentlig grad kommer påverka registrerade i två eller fler medlemsländer. 

Tillsynsmyndighet om ett företag är verksam i flera EU-länder

Företag ska som huvudregel enbart ha kontakt med en tillsynsmyndighet i ett land. Det spelar ingen roll om företaget är personuppgiftsansvarig eller personuppgiftsbiträde. Till exempel behöver företaget inte anmäla en personuppgiftsincident som berör personuppgifter i flera länder till dataskyddsmyndigheten i varje land, utan enbart till företagets ansvariga tillsynsmyndighet. Därför är det viktigt att veta vilken det är. Det är den tillsynsmyndigheten i landet som företaget har sin huvudsakliga verksamhet.

An administrative fine

Registrerade behöver inte veta vilken som är den ansvariga tillsynsmyndigheten

Registrerade kan däremot lämna in en anmälan om överträdelse av GDPR till sin egen nationella tillsynsmyndighet som finns i dennes bosättningsland. Registrerade behöver alltså inte lämna in anmälan till företagets ansvariga tillsynsmyndighet. Tillsynsmyndigheterna inom unionen samarbetar och kommer att överföra ärendet till den tillsynsmyndighet som är mest lämplig i fallet.

Flera tillsynsmyndigheter kan utföra en tillsyn

Det är inte ovanligt för nationella tillsynsmyndigheter i flera olika länder inom unionen att samarbeta och utföra en riktad tillsyn tillsammans. Många av dagens företag är internationella och behandlar personuppgifter tillhörande individer som befinner sig i ett flertal länder inom EU/EES området. 

Om det inträffar en personuppgiftsincident hos ett sådant internationellt företag, kan registrerade från ett flertal länder bli drabbade av incidenten. Vid sådana fall kan det vara så att en tillsynsmyndighet utför tillsynen, medan tillsynsmyndigheter från de andra länderna inkommer med sina åsikter i ärendet. Observera att det kan hända att de olika tillsynsmyndigheterna inte är överens om till exempel beloppet på en sanktionsavgift. Oaktat detta, är det den tillsynsmyndighet som är ansvarig för ärendet som fattar det slutgiltiga beslutet. 

Mer om Roller

Personuppgiftsansvariga enligt GDPR

Det är den personuppgiftsansvarige som bestämmer ändamålet och medel med behandlingen, och ansvarar för behandlingen av personuppgifter. Det är inte en chef eller anställd på företaget, utan företaget i sig som innehar denna roll. Med andra ord aktiebolaget, handelsbolaget, europabolaget osv. Däremot kan det vara en enskild person som är personuppgiftsansvarig i vissa fall. Exempelvis om det är en enskild näringsidkare, eller en privatperson som har installerat en övervakningskamera som filmar en allmän väg. Den personuppgiftsansvarige måste bland annat visa att GDPR efterföljs. Det innebär bland annat att inneha lämpliga GDPR-relaterade avtal och dokument.

Vill du lära dig mer?

Klicka här
Rulla till toppen