En av de stora utmaningarna inom EU är att all information över Internet ska tillåtas att flöda fritt mellan länder inom EU. Detta hänger samman med synen på att tjänster, varor och kapital ska kunna röra sig fritt inom EU:s inre marknad. I och med den nya dataskyddsförordningen kommer regelverket kring dataskydd att harmoniseras och lagstiftarna fann sig därför även tvungna att ta tag i den praktiska genomförbarheten av informationsflöden som utbyts mellan olika medlemsstater. Just därför har man valt att även införa principen om One-Stop-Shop.
Vad är principen ”One-Stop-Shop”?
Principen uttrycks i Artikel 56 GDPR och innebär kort sagt att om personuppgiftsansvariga eller personuppgiftsbiträden är aktiv i flera medlemsstater så ska det utses en ansvarig tillsynsmyndighet i det huvudsakliga verksamhetsområdet. Den ansvariga tillsynsmyndigheten är tänkt att fungera som ett samordningsorgan som har det överordnade ansvaret för de personuppgiftsansvariga eller personuppgiftsbiträdena. Tillsynsmyndigheten ska samarbeta med andra berörda tillsynsmyndigheter där de personuppgiftsansvariga eller personuppgiftsbiträdena har verksamhet i. Detta görs bl.a. genom att ömsesidigt dela information och utföra utredningar. För personuppgiftsansvariga och personuppgiftsbiträden är syftet med en ansvarig tillsynsmyndighet att så enkelt som möjligt veta vilken myndighet man bör vända sig till vid t.ex. en personuppgiftsincident.
Exempel: Utgör Sverige mitt huvudsakliga verksamhetsområde men jag dessutom har filialer i Tyskland och Spanien räcker det med att jag vänder mig till Integritetsskyddsmyndigheten (f.d. Datainspektionen) med mitt ärende och Integritetsskyddsmyndigheten får i sin tur vända sig till de andra berörda tillsynsmyndigheterna.
Att företag så enkelt som möjligt obehindrat ska kunna utföra sin verksamhet har i sin tur vägts mot berörda privatpersoners (registrerades) möjlighet att kunna lämna in ett klagomål. Den berörda registrerade ska enkelt kunna vända sig till sin nationella tillsynsmyndighet oavsett om denna har utsetts till ansvarig tillsynsmyndighet eller inte för företaget i fråga. Använder vi ovanstående exempel ska ett klagomål från en tysk privatperson om att den personuppgiftsansvariga har brutit mot t.ex. artikel 16 i GDPR kunna ges in till den nationella tillsynsmyndigheten i Tyskland. Det är sedan Tysklands tillsynsmyndighets plikt att meddela Integritetsskyddsmyndigheten i Sverige.1
Hur förhåller sig mitt företag till ”One-Stop-Shop”-principen?
Som kanske framgår genom texten ovan finns det några kriterier innan ”One-Stop-Shop” blir tillämplig. Nedanstående frågor ger en förenklad bild över när principen kan bli tillämplig och vem som blir ansvarig tillsynsmyndighet samt berörd tillsynsmyndighet:
1. Är behandlingen av den personuppgiftsansvariga eller personuppgiftsbiträdet gränsöverskridande personuppgiftsbehandling?
Det finns två scenarion där personuppgiftsbehandlingen ses som gränsöverskridande.2 Det första scenariot har redan nämnts och innebär att det finns mer än ett verksamhetsställe där den personuppgiftsansvariga eller personuppgiftsbiträdet behandlar personuppgifter. Det andra scenariot är när verksamheten endast utförs på ett verksamhetsställe men påverkar i väsentlig grad eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat. Huruvida de registrerade påverkas i väsentlig grad eller sannolikt i väsentlig grad kommer att påverkas avgörs genom en helhetsbedömning.3
2. Vilket lands tillsynsmyndighet kommer att utgöra den ansvariga tillsynsmyndigheten?
Av artikel 56 GDPR framgår det att den ansvariga tillsynsmyndigheten är den tillsynsmyndighet som finns där den personuppgiftsansvariga eller personuppgiftsbiträdet har sitt huvudsakliga verksamhetsställe. Vidareutvecklar vi detta begrepp utgör det huvudsakliga verksamhetsstället det land där vederbörande har sin centrala förvaltning såvida inte beslut om ändamål och medel för behandlingen sker på ett annat verksamhetsställe vilket i sådana fall innebär att det sistnämnda utgör det huvudsakliga verksamhetsstället. För personuppgiftsbiträdet innebär det huvudsakliga verksamhetsstället, det ställe där den centrala förvaltningen sköts eller där den huvudsakliga personuppgiftsbehandlingen sköts.4
3. Vilka länders tillsynsmyndigheter ses som berörda tillsynsmyndigheter?
I de länder som den personuppgiftsansvariga eller personuppgiftsbiträdet har en verksamhet eller där de registrerade är väsentligt påverkade eller sannolikt väsentligt påverkade. Slutligen är en berörd tillsynsmyndighet även den myndighet ett klagomål har lämnats in till.5
Avslutning
Principen om One-Stop-Shop utformades som en balansgång mellan att förenkla den praktiska genomförbarheten för företag som är verksamma i mer än en medlemsstat och samtidigt slå vakt om de registrerades rättigheter. I nuläget finns fortfarande många frågetecken kring definitioner som ”huvudsakligt verksamhetsställe” och ”väsentligen påverka”. Dessutom finns det oklarheter över hur den administrativa bördan kommer att se ut för tillsynsmyndigheter i de olika medlemsländerna. Hör gärna av er om ni vill veta mer!
För mer information: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
Fotnoter
- Artikel 56 andra stycket GDPR.
- Artikel 4.23 GDPR.
- Se Artikel 29-gruppens”Guidelines on The Lead Supervisory Authority” http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 s. 4.
- Artikel 4.16 GDPR.
- Se Artikel 29-gruppens ”Guidelines on The Lead Supervisory Authority” http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 s.12.