I henhold til GDPR er de nasjonale tilsynsmyndighetene (DPA) ansvarlige for håndhevingen av personvernregelverket. Hvert EØS-land har sin egen uavhengige tilsynsmyndighet, som overvåker anvendelsen av GDPR, inkludert håndtering av klager. For behandling av personopplysninger som foregår i mer enn ett EØS-land, gir GDPR et samarbeidssystem mellom de kompetente DPA-ene, der de samarbeider for å oppnå enighet. Finn en oversikt over DPA-ene.
GDPR gir rettigheter til enkeltpersoner, inkludert retten til å sende inn en klage til den kompetente tilsynsmyndigheten når de frykter at det har vært brudd på deres rett til vern av personopplysninger.
Tilsynsmyndighetens oppgaver og kompetanse
DPA-enes oppgaver
Hver DPA har ansvar for å overvåke og håndheve anvendelsen av GDPR og fremme offentlig bevissthet om og forståelse av risiko, regler, garantier og rettigheter i forbindelse med behandling av personopplysninger. Tilsynsmyndigheten skal gi råd til det nasjonale parlamentet, regjeringen og andre institusjoner og organer, samt gi informasjon til enhver person om utøvelsen av sine rettigheter. I tillegg skal DPA-ene fremme bevisstheten til behandlingsansvarlige og databehandlere om deres forpliktelser i henhold til GDPR. DPA-ene håndterer klager fra enkeltpersoner, gjennomfører undersøkelser om riktig anvendelse av GDPR og samarbeider med andre DPA-er om anvendelsen av GDPR. Tilsynsmyndighetene er også ansvarlige for:
- Å vedta og godkjenne standard personvernbestemmelser (SCC);
- Godkjenning av bindende virksomhetsregler (BCR),
- godkjenning av atferdsnormer,
- Å oppmuntre til etablering av mekanismer for personvernsertifisering,
- Å bidra til virksomheten til det europeiske personvernbyrået (EDPB),
- Å utføre andre oppgaver knyttet til vern av personopplysninger.
Les mer
DPA-enes kompetanse
Ved innføringen av GDPR ble håndhevelseskompetansen til de nasjonale DPA-ene økt betraktelig.GDPR artikkel 58 definerer de nasjonale tilsynsmyndighetens kompetanser ved å inndele dem i tre hovedgrupper:
- undersøkende myndighet;
- korrigerende myndighet;
- rådgivende myndighet.
Undersøkende myndighet
DPA-ene utøver sin undersøkende myndighet for å avgjøre om det foreligger en overtredelse av GDPR, samt overtredelsens art og omfang. DPA-er kan blant annet:
- Pålegge virksomheter å gi opplysninger som er relevante for undersøkelsene,
- Gjennomføre undersøkelser i form av personvernrevisjoner og varsle virksomhetene om en påstått overtredelse av GDPR.
- Få tilgang til alle personopplysninger som innehas av en virksomhet og til all informasjon som er nødvendig for å utføre sine oppgaver, inkludert tilgang til virksomhetens lokaler, herunder alt databehandlingsutstyr og -midler, i samsvar med europeisk og nasjonal prosesslovgivning.
- Gjennomføre en gjennomgang av sertifiseringer utstedt i henhold til GDPR artikkel 42.7.
Korrigerende myndighet
Dersom en overtredelse av bestemmelsene i GDPR blir påvist gjennom undersøkelsen, eller det anses at en behandlingsaktivitet medfører risiko eller ikke oppfyller spesifikke krav, har DPA-ene rett til å utøve ett eller flere korrigerende tiltak, for eksempel:
- Advarsel eller forbud mot behandling av personopplysninger: Dersom det foreligger en eksisterende risiko, kan DPA-ene utstede advarsler til virksomheter for å hindre at virksomhetenes behandlingsaktiviteter bryter bestemmelsene i GDPR. DPA-ene kan også fatte vedtak om en midlertidig eller endelig begrensning av behandlingen, inkludert et forbud mot en virksomhets behandlingsaktiviteter, samt pålegge virksomheten å gi informasjon om databruddene som har skjedd til personene som er berørt.
- Samsvarsordre: For å sikre overholdelse av GDPR eller for å håndtere tilfeller der visse kriterier eller krav ikke er oppfylt, har DPA-ene myndighet til å beordre virksomheter til å overholde enkeltpersoners forespørsler om å utøve sine rettigheter i henhold til GDPR. Der det er hensiktsmessig, kan virksomhetene pålegges å bringe sine behandlingsaktiviteter i samsvar med bestemmelsene i GDPR på en bestemt måte og innen en bestemt tidsperiode.
- Suspensjon av datastrømmer eller tilbakekalling av sertifisering: I tillegg kan DPA-ene også utøve sin myndighet til å suspendere alle datastrømmer til mottakere i tredjeland eller til internasjonale organisasjoner. Videre kan DPA-ene trekke tilbake sertifiseringen eller pålegge sertifiseringsorgan å trekke tilbake en utstedt sertifisering i henhold til GDPR artikkel 42 og 43. I tilfeller der sertifiseringskravene ikke er oppfylt eller ikke lenger er oppfylt, kan DPA-ene pålegge sertifiseringsorganet at det ikke skal utstede sertifisering.
- Irettesettelser: Ved påviste overtredelser kan DPA-ene irettesette virksomheter.
- Overtredelsesgebyr: DPA-ene kan også pålegge administrative bøter i samsvar med GDPR artikkel 83, i tillegg til eller i stedet for de andre tiltakene som er nevnt ovenfor. Denne administrative sanksjonsordningen krever at det foretas en konkret vurdering av omstendighetene i hvert enkelt tilfelle. Vurderingen bør ta hensyn til faktorer som overtredelsens art, alvorlighetsgrad og varighet, om overtredelsen var forsettlig eller uaktsom, eventuelle skadereduserende tiltak som kunne ha blitt gjennomført, de tekniske og organisatoriske tiltakene (dvs. sikkerhetstiltakene) som er gjennomført, og hvordan DPA-en ble kjent med overtredelsen.
Det maksimale nivået på overtredelsesgebyr avhenger av typen brudd:
- Det kan gå opp til maksimalt 10 millioner euro eller 2 % av den totale globale årlige omsetningen i foregående regnskapsår (for eksempel ved brudd på «innebygget personvern og personvern som standard», manglende overholdelse av forpliktelsen til å inngå en databehandlingsavtale, eller unnlatelse av å gjennomføre en vurdering av personvernkonsekvenser (DPIA) eller utnevne et personvernombud) i henhold til GDPR artikkel 83.4; eller
- det kan gå opp til maksimalt 20 millioner euro eller 4 % av den totale globale årlige omsetningen i foregående regnskapsår (for eksempel ved brudd på de grunnleggende prinsippene om behandling, for ulovlig behandling av personopplysninger uten rettslig grunnlag, eller for brudd på den registrertes rettigheter) i henhold til GDPR artikkel 83.5.
Du kan finne mer informasjon om overtredelsesgebyr for brudd på personvernforordningen i GDPR art. 83 og EDPBs retningslinjer for beregning av administrative bøter.
Rådgivende myndighet
DPA-ene har en autoriserende og rådgivende rolle under GDPR, slik at de kan gi støtte til virksomheter og/eller autorisere spesifikke behandlingsaktiviteter. Noen eksempler er:
- Forutgående konsultasjon: Gi råd til behandlingsansvarlige i samsvar med den konsultasjonsprosedyren i henhold til GDPR artikkel 36.
- Uttalelser om lovgivningsvirksomhet: Utstede, enten på eget initiativ eller på anmodning, uttalelser til sitt nasjonale parlament, regjering eller, i samsvar med nasjonal lovgivning, til andre institusjoner og organer samt til offentligheten om ethvert spørsmål knyttet til vern av personopplysninger.
- Etiske retningslinjer og sertifisering: Godkjenne utkast til atferdsnormer, akkrediteringsorganer eller utstede sertifiseringer og godkjenne kriterier for sertifisering.
Utøvelsen av DPA-enes ovennevnte myndighet er underlagt egnede beskyttelsestiltak, herunder effektive rettsmidler og rettssikkerhet, som fastsatt i europeisk og nasjonal lovgivning i samsvar med EU-pakten for grunnleggende rettigheter. Hver DPA har myndighet til å bringe overtredelser av GDPR til rettsinstansenes oppmerksomhet og der det er hensiktsmessig, å starte eller engasjere seg på annen måte i rettssaker, for å håndheve bestemmelsene i GDPR. DPA-ene kan gis ytterligere myndighet i henhold til nasjonal lovgivning.
Les mer
Samarbeid og «One-Stop-Shop»
GDPR gjelder over hele EØS ved å bruke det samme settet med personvernregler i alle land. Denne tilnærmingen tilrettelegger for at internasjonale selskaper, men også små og mellomstore bedrifter, kan utvikle seg og vokse ved å tilby tjenestene sine i mer enn ett EØS-land.
For å redusere den administrative byrden ved behandling av personopplysninger i to eller flere EØS-land, gir GDPR et system for samarbeid mellom DPA-ene — den såkalte "one-stop-shop"-mekanismen, for å oppnå enighet mellom alle DPA-ene.
Når en virksomhet behandler personopplysninger i to eller flere EØS-land, skal for eksempel vedkommende myndighet som behandler en klage eller en avviksmelding være fra det landet hvor den behandlingsansvarlige har sin hovedetablering. Dette gjør det enklere for behandlingsansvarlige, da de ikke trenger å overholde forskjellige lover i hvert land de opererer i. I tillegg trenger de bare å samhandle med én DPA. Avhengig av din type virksomhet og produktene og tjenestene du tilbyr, kan behandling over landegrensene også gjelde for små og mellomstore bedrifter. Mange mindre bedrifter, for eksempel nettbutikker, e-handelnettsteder, mobil- og dataprogramaktører tilbyr tjenester i flere land.
Hvis din virksomhet behandler opplysninger om enkeltpersoner i ulike EØS-land, er du forpliktet til å avgjøre hvilken DPA som er den kompetente DPA-en, eller den ledende myndigheten. Dette er vanligvis DPA-en i EØS-landet der virksomhetens hovedkontor ligger, og hvor beslutninger om formål og midler for behandling av personopplysninger blir gjort.
I praksis
- For eksempel vil nettbutikker som selger klær til kunder i flere EØS-land ofte behandle personopplysninger. I slike grenseoverskridende tilfeller skal vedkommende tilsynsmyndighet være i det landet hvor nettforhandleren har sin hovedvirksomhet.
Når du har bestemt hvilken DPA som er ledende, trenger du kun å kommunisere med dem. Den ledende DPA-en samarbeider og deltar i diskusjoner med andre berørte tilsynsmyndigheter i EØS-området.
Dersom en klage med et grenseoverskridende element må håndteres i samarbeid med en annen DPA, skal følgende samarbeidstiltak treffes:
- Hvis en annen DPA mottok klagen, har den plikt til å informere den ledende DPA-en om saken.
- Berørte DPA-er kan delta i utarbeidelsen av en beslutning om klagen.
- Under utarbeidelsen skal den ledende DPA-en ta hensyn til uttalelsene fra berørte DPA-er.
Fastsettelse av den ledende tilsynsmyndigheten
Nøkkelbegreper
Grenseoverskridende behandling av personopplysninger
I henhold til GDPR er identifisering av en ledende tilsynsmyndighet kun relevant for virksomheter som utfører grenseoverskridende behandling av personopplysninger.
GDPR definerer "grenseoverskridende behandling" som enten:
- Behandling av personopplysninger som finner sted i mer enn ett EØS-land der den behandlingsansvarlige eller databehandleren er etablert i mer enn ett EØS-land; eller
- Behandling av personopplysninger som skjer i en virksomhet med en enkeltstående etablering i EØS, men som i vesentlig grad påvirker eller sannsynligvis vil påvirke enkeltpersoner i mer enn ett EØS-land.
I praksis
- Dette betyr at når en virksomhet er etablert i Tyskland og Kroatia, og behandling av personopplysninger finner sted i sammenheng med deres virksomhet, vil dette utgjøre grenseoverskridende behandling.
- Alternativt kan virksomheten være etablert kun i Tyskland. Men hvis behandlingsaktiviteten i vesentlig grad påvirker — eller sannsynligvis vil påvirke — enkeltpersoner i Tyskland og Kroatia, vil dette også utgjøre en grenseoverskridende behandling.
Forståelse av "betydelig påvirker"
At en virksomhet behandler en mengde — til og med en stor mengde — av enkeltpersoners personopplysninger i flere EØS-land, betyr ikke nødvendigvis at behandlingen har, eller sannsynligvis vil ha, en betydelig effekt. Behandling med liten eller ingen effekt utgjør ikke grenseoverskridende behandling, uavhengig av hvor mange individer som påvirkes.
DPA-ene vil foreta en konkret vurdering av vilkåret "betydelig påvirker" fra sak til sak. De vil ta hensyn til behandlingens kontekst, typen data som behandles, formålet med behandlingen og faktorer som om behandlingen:
- Forårsaker eller er sannsynlig å forårsake skade, tap eller nød for enkeltpersoner;
- har eller er sannsynlig å ha en faktisk virkning når det gjelder å begrense enkeltpersoners rettigheter eller hindrer enkeltpersoner fra å gjøre noe de ellers ville hatt mulighet til;
- påvirker eller er sannsynlig å påvirke enkeltpersoners helse, velvære eller sinnsro;
- påvirker eller kan påvirke enkeltpersoners finansielle eller økonomiske status eller levekår;
- medfører at enkeltpersoner risikerer å bli utsatt for diskriminering eller rettferdig behandling;
- innebærer analyse av sensitive eller særlige kategorier personopplysninger, spesielt personopplysninger om barn;
- medfører eller er sannsynlig å medføre at enkeltpersoner i betydelig grad endrer oppførselen sin;
- har usannsynlige, uforutsette eller uønskede konsekvenser for enkeltpersoner;
- skaper forlegenhet eller andre negative konsekvenser, inkludert omdømmeskade; eller innebærer behandling av et bredt spekter av personopplysninger.
Ledende tilsynsmyndighet
En «ledende tilsynsmyndighet» (ledende DPA) er DPA-en med hovedansvar for å håndtere en grenseoverskridende behandlingsaktivitet, for eksempel når en person klager på behandlingen av sine personopplysninger. Den ledende DPA-en skal koordinere undersøkelsene og arbeide sammen med berørte DPA-er. Identifiseringen av den ledende tilsynsmyndigheten avhenger av lokaliseringen til den behandlingsansvarliges «hovedvirksomhet» eller «enkelstående virksomhet» i EØS.
Hvis en virksomhet er etablert i bare ett EØS-land, har den en enkelstående etablering i EØS, og DPA-en i dette landet vil være ledende DPA. Hvis en virksomhet er etablert i mer enn ett EØS-land, er det nødvendig å fastsette hvor hovedvirksomheten er, slik at den ledende DPA-en kan identifiseres.
Les mer
Hovedvirksomhet
For å fastslå hvor hovedvirksomheten er, er det først nødvendig å identifisere plasseringen av virksomhetens sentraladministrasjon i EØS («hovedetableringen»), gitt at det finnes en etablering innenfor EØS. Dette er stedet der beslutninger om formål og midler for behandling av personopplysninger tas.
I tilfeller der beslutninger om ulike grenseoverskridende behandlingsaktiviteter tas av sentraladministrasjonen, vil det være én ledende DPA i EØS for de ulike behandlingsaktivitetene som den multinasjonale virksomheten utfører. Det kan imidlertid forekomme tilfeller der en annen del av virksomhet enn sentraladministrasjonen treffer selvstendige beslutninger om formål og midler til bestemte behandlingsaktiviteter. I slike situasjoner vil det være avgjørende for virksomheter å identifisere nøyaktig hvor beslutningene om formål og midler tas. Korrekt identifisering av hovedvirksomheten er av betydning for behandlingsansvarlige og databehandlere, fordi det gir klarhet i hvilke DPA-er de må forholde seg til med hensyn til sine plikter i henhold til GDPR.
Les mer
I praksis
- En klesbutikk har sitt hovedkvarter (dvs. sitt sted for sentraladministrasjon) i Sofia, Bulgaria. Den er etablert i ulike andre EØS-land, som er i kontakt med enkeltpersoner der. Alle etableringene benytter seg av den samme programvaren for å behandle kundenes personopplysninger for markedsføringsformål. Alle beslutninger om formål og midler for behandling av kundenes personopplysninger for markedsføringsformål tas innenfor hovedkontoret til Sofia. Dette betyr at selskapets ledende DPA for denne grenseoverskridende behandlingsaktiviteten er den bulgarske tilsynsmyndigheten.
Virksomheter som ikke er etablert i EØS
Hvis virksomheten din ikke er etablert i EØS, men er underlagt GDPR siden den faller inn under GDPRs territorielle virkeområde, kan det være nødvendig å oppnevne en representant i et av EØS-landene.
Men hvis en virksomhet ikke har en etablering i EØS, vil tilstedeværelsen av en representant i et av EØS-landene ikke i seg selv utløse "one-stop-shop"-mekanismen. Dette betyr at virksomheter uten etablering i EØS må forholde seg til lokale DPA-er i alle EØS-land de er aktive , gjennom sin lokale representant.
Les mer
Rollen til Det europeiske personvernbyrådet (EDPB)
EDPB er et uavhengig europeisk organ og juridisk person som bidrar til en konsekvent anvendelse av personvernregelverket i hele EØS og fremmer samarbeid mellom EUs tilsynsmyndigheter. EDPB består av lederne for DPA-ene og Det europeiske personverntilsynet (European Data Protection Supervisor; «EDPS») eller deres representanter.
I EDPB arbeider DPA-ene sammen for å:
- Gi generell veiledning (inkludert retningslinjer, uttalelser, anbefalinger og mønsterpraksis) om personvernregelverket, spesielt GDPR;
- Rådgi EU-kommisjonen om spørsmål knyttet til vern av personopplysninger og ny foreslått lovgivning i EU;
- Vedta konsekvente beslutninger og uttalelser i grenseoverskridende personvernsaker.
I stedet for å svare på spesifikke, individuelle forespørsler, utsteder EDPB generell veiledning.
EDPB har vedtatt flere veiledningsdokumenter som er direkte relevante for virksomheter, inkludert små og mellomstore bedrifter. Disse retningslinjene klargjør ulike områder av GDPR, for eksempel de grunnleggende behandlingsprinsippene, innebygget personvern og personvern som standard, overføringer til tredjeland og registrertes rettigheter. Du finner en oversikt over disse dokumentene her.
Samhandlingsmekanismen
Samhandlingsmekanismen kan ha direkte innvirkning på små og mellomstore bedrifter. I første omgang kan samhandlingsmekanismen utløses når den ledende DPA-en og de berørte DPA-ene ikke blir enige om hvordan en bestemt grenseoverskridende sak skal følges opp. I slike tilfeller blir saken henvist til EDPB som vedtar en bindende beslutning om å løse tvisten.
I tillegg utsteder EDPB ensartede uttalelser om utkast til beslutninger utarbeidet av DPA-ene når sakene kan ha grenseoverskridende virkninger (f.eks. på et nytt sett med standardkontrakter eller atferdsnormer).
EDPB kan også komme med uttalelser om ethvert spørsmål om generell anvendelse av GDPR, eller ethvert problem som har innvirkning i mer enn ett EØS-land. Dette arbeidet har som mål å sikre at GDPR blir forstått og anvendt på samme måte i hele EØS-området.